V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
octopus_new
V2EX  ›  信息安全

为什么国内网站不用 https?

  •  1
     
  •   octopus_new · 2013-11-05 18:40:51 +08:00 · 20951 次点击
    这是一个创建于 4063 天前的主题,其中的信息可能已经有所发展或是发生改变。
    国外网站基本上从注册到登录都把链接做成 https, 为什么国内从门户网站,到小型 online store 都很少使用 https? 一直都想不通啊
    61 条回复    2016-06-10 10:43:06 +08:00
    pfitseng
        1
    pfitseng  
       2013-11-05 18:50:12 +08:00 via Android

    不重视
    chairuosen
        2
    chairuosen  
       2013-11-05 18:52:15 +08:00   ❤️ 1
    记得DNSPOD用
    octopus_new
        3
    octopus_new  
    OP
       2013-11-05 18:56:46 +08:00
    @pfitseng 小网站还说得过去, 但是对于新浪,网易这种网站钱肯定不是问题, 而且 https 这种对于大网站肯定也不会存在不重视的问题吧? 贵和不重视完全说不通啊
    octopus_new
        4
    octopus_new  
    OP
       2013-11-05 18:58:48 +08:00
    @chairuosen 看了, DNSPOD 确实用, 但是这也算是极少数了吧
    shiny
        5
    shiny  
       2013-11-05 19:02:36 +08:00
    举例:cnzz 不支持 https(几个月前,现在已经可以了);百度分享、多说之类的服务不支持 https;很多 CDN 不支持;购买证书太贵;很少有大的主机商卖证书;互联网相关法律不健全,安全意识薄弱;使用 ssl 的社会风气缺乏。
    shiny
        6
    shiny  
       2013-11-05 19:04:17 +08:00
    还有,国内独立 ip 量少,而 https 在低级浏览器里 hosts 支持有问题。
    能列出一堆可能的因素。
    shiny
        7
    shiny  
       2013-11-05 19:08:44 +08:00
    再比如,百度收录 https 有问题?
    cctvsmg
        8
    cctvsmg  
       2013-11-05 19:10:06 +08:00
    主要是安全意识薄弱,稍微有整站https的就吹个天大的牛皮——“银行级别加密”
    就连webqq出来好长时间都不支持https,就算是现在也是默认不开,打开了以后有相当多的流量不走https,简直无语。
    tension
        9
    tension  
       2013-11-05 19:11:31 +08:00
    sweethotdog
        10
    sweethotdog  
       2013-11-05 19:12:35 +08:00
    方便监听明文
    octopus_new
        11
    octopus_new  
    OP
       2013-11-05 19:14:08 +08:00
    @cctvsmg 是啊, 这个我觉得挺难理解的. 如果是小站点买不起 wildcard ssl也就罢了(虽然可以买一些初级的 SSL), 门户站的服务为什么也不加 SSL 就很理解不了了, 至少 SSL 在很大程度上可以保护用户的信息.
    tension
        12
    tension  
       2013-11-05 19:14:24 +08:00
    本来想搞EV SSL 国外 130刀 都买了,结果不支持中国公司

    国内一个EV SSL 卖**的几千块甚至上万块 没见过钱一样!!!
    suziewong
        13
    suziewong  
       2013-11-05 19:15:25 +08:00
    支付宝
    octopus_new
        14
    octopus_new  
    OP
       2013-11-05 19:16:49 +08:00
    @tension 土豪你这是在赤裸裸的打广告啊, 哈哈. 不过我看了一下, 网站本身并不强制使用 https, 而且用户登录也不强制 https, 这 SSL 钱花的不值啊, 呵呵.
    shiny
        15
    shiny  
       2013-11-05 19:19:19 +08:00 via iPhone
    @octopus_new 你可以访问网易的ssl看,CDN加证书代价也很大。
    octopus_new
        16
    octopus_new  
    OP
       2013-11-05 19:19:43 +08:00
    @sweethotdog 是的, 我也有这种考虑, 是不是 GOV 并不支持网站使用 https......
    octopus_new
        17
    octopus_new  
    OP
       2013-11-05 19:24:25 +08:00
    @shiny 看了一下, 结果:
    pfitseng
        18
    pfitseng  
       2013-11-05 19:24:58 +08:00 via Android
    @octopus_new 你要考虑到cdn ,而且ssl 影响性能。总之,布ssl 比较麻烦又增加支出,但对用户是透明的,不增长利润。webqq 自己搞了个vhttp,属于旁门。gov 应该是多虑了,根本不用操这心,具体看csdn 。
    tension
        19
    tension  
       2013-11-05 19:27:42 +08:00
    @octopus_new 我想设置强制SSL 来着,但是不会设置...
    octopus_new
        20
    octopus_new  
    OP
       2013-11-05 19:27:54 +08:00
    @shiny 而且我还试了一下网易 mail, 也太扯淡点了, 这可是标榜技术的门户网站啊:
    octopus_new
        21
    octopus_new  
    OP
       2013-11-05 19:29:57 +08:00
    @tension 我晕, 你这 web 系统是自己开发的还是用的第三方的程序啊, 怎么不会设置呢......, 这么多牛头人, 随便问一下就搞定了吧, 哈哈
    octopus_new
        22
    octopus_new  
    OP
       2013-11-05 19:35:10 +08:00
    @pfitseng 我觉得可能还是不重视, 和CDN或者性能什么的都没关系, 都是上市的门户网站, 连 SSL 这点钱或者性能问题都搞不定, 那还门户个毛啊.
    shiny
        23
    shiny  
       2013-11-05 20:00:23 +08:00 via iPhone
    @octopus_new 因为ssl要独立ip而cdn已经把证书给12306了。
    icyalala
        24
    icyalala  
       2013-11-05 20:08:07 +08:00
    大公司弄个证书还是没问题的。

    SSL很影响性能,增加了工程的部署难度,增加了前端的开发难度,增加了流量。
    这些都是钱啊!!对用户的安全性提升却是很少。。

    顶多登录时用个SSL,保证你登录安全就行了。。至于隐私?呵呵
    octopus_new
        25
    octopus_new  
    OP
       2013-11-05 20:08:16 +08:00
    @shiny 你在说什么呢, 这个和12306有什么关系?
    octopus_new
        26
    octopus_new  
    OP
       2013-11-05 20:09:59 +08:00
    @icyalala 按照你这么一说, 那 Google 的 SSL 有什么意义? 国外公司用 SSL 有什么意义?
    clippit
        27
    clippit  
       2013-11-05 20:10:26 +08:00
    此外别忘了天朝整体的网络基础,一些落后地区HTTPS的连接成功率很低,更别说手机上了
    Zhang
        28
    Zhang  
       2013-11-05 20:10:33 +08:00
    方便监听
    felix021
        29
    felix021  
       2013-11-05 20:12:27 +08:00
    对于登录而言,https其实不是必须的,可以很容易避免重放攻击。
    pubby
        30
    pubby  
       2013-11-05 20:12:54 +08:00
    小网站搞ssl很容易,大网站分布式的搞https是很麻烦的事情

    偶尔给你登陆地址弄个https已经很不错了 :P
    icyalala
        31
    icyalala  
       2013-11-05 20:15:00 +08:00
    @octopus_new 这不是在讨论国内网站嘛~~

    国外对隐私、个人信息、安全都非常重视,即使内容的监听都容不得。SSL很有意义。
    国内呢?必须接受内容审查,网络隐私不受保护。。
    octopus_new
        32
    octopus_new  
    OP
       2013-11-05 20:18:01 +08:00   ❤️ 1
    我发现大家都在说什么什么 CDN https 部署困难, 什么登录意义不大, 难道 facebook, twitter, Google, Amazone 部署 SSL 就特简单? 意义不大为什么海外公司都在用, 难道有钱没地方花了? 理解不了啊......
    octopus_new
        33
    octopus_new  
    OP
       2013-11-05 20:20:09 +08:00
    @icyalala 说来说去还是不重视......, 意义和钱都不是关键
    coosir
        34
    coosir  
       2013-11-05 20:23:29 +08:00
    打开http://www.126.com ,登录框下方显示“正使用SSL登”,但是明显不是https啊,而且表单post地址也不是https。难道有js会自动改变post地址?请前端高手来剖析下代码 - -
    coosir
        35
    coosir  
       2013-11-05 20:24:56 +08:00
    另外打算将我管理的网站的用户登录部分采用https了,https://mostlink.com
    webflier
        36
    webflier  
       2013-11-05 20:29:54 +08:00
    你从哪儿看到国内门户网站都不用https的?你看看谁家的登陆功能不走https的?
    你不能指望新浪网易整站都走https吧?看个新闻走https有意思吗?
    要说国外,你看看yahoo和msn的门户能走https?
    请您移步去访问https://www.yahoo.com和https://www.msn.com看看
    octopus_new
        37
    octopus_new  
    OP
       2013-11-05 20:42:04 +08:00   ❤️ 1
    @webflier 从讨论的一开始我有说"整站"这个词么? 看阁下这语气是来打架来了? 作为保护用户信息的方式, 难道在客户登录的时候不应该使用 SSL 加密么? 你用 https://www.sina.com.cn 访问和用 https://www.yahoo.com 访问看看结果一样么, 雅虎直接返回 http, 而 sina 直接无法显示, 这不正说明国内网站不重视 https 连接么? 实在是不理解我踩到您哪里了, 让您这么不爽......
    octopus_new
        38
    octopus_new  
    OP
       2013-11-05 20:52:40 +08:00
    @coosir 我觉得使用 https 是一个网站重视用户信息最基本的表现, 我发现国外用户更倾向于使用有 ssl 加密的网站, 好像国内在用户这一块大家就很少 care.
    webflier
        39
    webflier  
       2013-11-05 21:02:27 +08:00
    @octopus_new 在我看来,国内的大部分大网站登陆都是走https的。所以我不觉得他们做的有什么问题。而你说国内门户网站很少走https,那请问你指的是什么?你这个结论是怎么来的?
    雅虎直接返回 http, 而 sina 直接无法显示,这只能说明他们都不支持https.
    我语气不好,我向你道歉。
    octopus_new
        40
    octopus_new  
    OP
       2013-11-05 21:10:23 +08:00
    @webflier weibo.com就不走 https, 而且微博貌似还要求了实名制. https://mail.163.com 在我这里也无法访问. 而且我从一开始也并没有说"都", 你从一开始的进入这个讨论就已经问题重重了......
    webflier
        41
    webflier  
       2013-11-05 21:19:07 +08:00
    @octopus_new
    豁然开朗
    原来你以为https://mail.163.com不能访问,就说明在http://mail.163.com/上的登陆动作是不安全的,不走https的?
    我错了。。。。真的。。。。真不该插一脚的。。。。
    hzlzh
        42
    hzlzh  
       2013-11-05 21:28:14 +08:00
    我的两个域名都用了 https/SSL ,还是可以的。
    https://zlz.im/
    https://mthost.org/
    octopus_new
        43
    octopus_new  
    OP
       2013-11-05 21:29:14 +08:00   ❤️ 2
    @webflier 显式的在浏览器里使用 https 至少能让用户放心, 在登录框下面写个正使用 ssl 登录, 对用户来讲可信度有多少, 难道还要用户去看代码来确定? 为什么 Gmail 没在登录框下面写一个"正使用 ssl 登录"? 国内网站的设计本身就问题多多. 还有就是难道 weibo.com 也是"正使用 ssl 登录"? 或者国内很多网站都是 http 正使用 ssl 登录?
    coagent
        44
    coagent  
       2013-11-05 21:41:04 +08:00 via iPhone
    在登录框搞个要用户去勾的SSL登录选项,本身就是用户体验的问题。
    tension
        45
    tension  
       2013-11-05 21:45:10 +08:00   ❤️ 1
    @octopus_new 已经强制到HTTPS了!
    octopus_new
        46
    octopus_new  
    OP
       2013-11-05 21:50:23 +08:00
    @tension 你这服务真心给力啊, 土豪, 说干就干啊, 哈哈 :)
    octopus_new
        47
    octopus_new  
    OP
       2013-11-05 21:54:22 +08:00
    @coagent 是的, 感觉国内网站的体验不那么好, 这么多年好像改变也很缓慢. 可能公司大了一点点变动都变得很困难吧.
    tension
        48
    tension  
       2013-11-05 21:54:32 +08:00
    @octopus_new 说道这个...

    我可以炫耀下 我自己注册了 elinkhost.coelinkvps.co 吗?

    为了客户加入少输入一个m 也能自动访问我们网站
    046569
        49
    046569  
       2013-11-05 22:01:31 +08:00
    抠字眼的话LZ这个是伪命题,当然意思大家都明白.
    不要管别人用不用,自己搞的一定要用,还能顺道解决某些无良运营商污染HTTP的问题.
    liuhang0077
        50
    liuhang0077  
       2013-11-05 22:10:33 +08:00
    octopus_new
        51
    octopus_new  
    OP
       2013-11-05 22:12:45 +08:00
    @046569 是啊, 我觉得 https 这个事情看上去无关紧要, 但是对于用户来讲, 至少让人感觉放心. 我之前做过两个同一领域不同公司(都是老外的公司)的online sales网站(A公司没有使用 ssl, B 公司用 ssl), A 公司 Google 排名靠前但是 online sales 每年会比 B 公司少大概300 - 500个 orders. 所以我觉得其实用户应该是在乎自己的信息的.
    icyalala
        52
    icyalala  
       2013-11-06 00:13:41 +08:00
    正面的说一下。

    SSL的作用是在浏览器和服务器之间建立一条加密的通道,防的是能接触到你和服务器之间通信的第三者,捕获到私密信息。这样说来,内容、新闻类的网站,本身没有什么私密信息,那走https毫无作用。https是作用于那些包含了私密信息通信业务的网站,比如SNS、电商、邮件、包含登陆功能的站点等。

    国外的用户(注意这里是用户)非常重视个人隐私,莫不如说西方社会对隐私和安全等非常重视。我在google搜索东西,不想让别人知道,防的是谁呢?我和google肯定是相互信任的,防的就是运营商、乃至政府(政府即使想嗅探,也要偷偷滴干,不然也会惹大麻烦)。 至于说购物、登陆密码等东西,更是需要注意安全了。 这些场景下,https很有必要,用户需要,网站为了服务用户自然也是需要的。

    换到国内,“隐私”这种东西变得很微妙。用户和网站之间的通信内容,需要接受政府的审查和监管。用户和网站必须舍弃一些东西才能继续生存(CNNIC证书可信吗?如果不可信https有用吗?)。 不论哪一方面,大众对于"隐私"和"安全"的认知还不够。知道https作用的用户份额非常少,以至于即使163邮箱开通了整站https,也不会产生什么影响(geek们该不用的照样不用,普通用户不会注意这种改变)。 https这种东西在国内的作用,也只限于了保证登陆的密码安全,防黑客攻击。

    最后,全站https提升了开发和部署难度、提升了运维成本,最终却难以给用户带来太多好处,绝大部分用户也不会领情。。嗯,真的没必要。
    Moker
        53
    Moker  
       2013-11-06 00:38:35 +08:00
    @tension 我记得这个还是源自我的灵感。。。
    octopus_new
        54
    octopus_new  
    OP
       2013-11-06 00:39:41 +08:00
    @icyalala 其实感觉这是个态度问题, alipay不就整站的 ssl 么. 就跟说:"反正给你自由你就一定比现在过得好么, 不一定的话..., 嗯, 真的没必要"一样. 是个姿态问题.
    breeswish
        55
    breeswish  
       2013-11-06 08:27:36 +08:00
    安全意识薄弱,配套网站不支持,……

    DNSPod创始人不是在另一个帖子里说过么,DNSPod是很有安全意识的,从最初就是以很高安全标准来做的。所以DNSPod用https在意料之内。

    另外,我记得百度不会收录https
    以及,新浪微博组件 不支持https方式访问,等等

    现在域名证书一点也不贵 wildcard都只要$8/yr
    breeswish
        56
    breeswish  
       2013-11-06 08:30:24 +08:00
    补充

    国内几乎找不到一个支持https的CDN,无论免费付费的(貌似前几个月才刚刚出现一个号称支持https的,但是好像很少有人用)
    也找不到一个支持https的图床/云存储(难得七牛云下有个qbox是有https的,上个月证书过期了也没人管)

    [所以配套服务不支持https也是制约https在国内发展的因素之一]
    est
        57
    est  
       2013-11-06 08:34:44 +08:00
    小站懒得搞,大站搞了国安要来找~~~~~~~~
    Eson
        58
    Eson  
       2013-11-06 15:26:02 +08:00
    之前看163还是哪个门户,登录名和密码居然是明文传输的!
    v2ex登录后还停留在登录页面,搞得我以为密码错了,试了好多遍。。
    huafang
        59
    huafang  
       2013-11-06 19:34:55 +08:00
    @sweethotdog 正解
    bitweaver
        60
    bitweaver  
       2014-11-02 13:58:03 +08:00
    @est 说得好!
    hopper
        61
    hopper  
       2016-06-10 10:43:06 +08:00
    豆瓣全站已经是全部 https 加密
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2055 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 00:39 · PVG 08:39 · LAX 16:39 · JFK 19:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.