http缺点

通信使用明文（未加密的报文），内容可能会被窃听：即使是加密处理的通信

也会被窥视到通信内容，这点和未加密的通信是一样的。只是说如果通信经过加

密，就有可能让人无法破解报文信息的含义，但加密处理后的报文信息本身还是

会被看到的。（例如抓包工具）

不验证通信方的身份就可能遭遇伪装：HTTP协议的实现本身非常简单，不论

是谁发来的请求都会返回响应。但是通过SSL可以查明对手的证书。（伪造证书

是一件异常困难的事情）

无法证明报文的完整性，可能已被篡改：虽然HTTP有MD5等校验算法，但

是MD5本身也可能被修改，这样的话，用户完全察觉不到。为了防止弊端，有必

要使用HTTPS。

什么是https

HTTP＋加密＋认证＋完整性保护＝HTTPS

https(http over ssl)是以安全为目标的http通道，说穿了就是http

的安全版。https的安全基础是ssl。https协议的主要作用可以分为两种：

一种是建立一个信息安全通道，来保证数据传输的安全;另一种就是确认网站

的真实性。https需要ssl证书部署到服务器端来实现。

一方面是我们的隐私保护意识还不强，比如上网搜索什么被别人获取并不认为

是个人隐私泄露，另一方面在于“s”的代价：研究表明，https会让页面加载

时间增加50%，耗电增加10%到20%，此外，https还会影响缓存，增加数据

开销和功耗，并会影响已有的安全措施。

有数据统计，国外网站https流量已超过全网的50%。相比而言，我国的

https普及率还比较低，仅在涉及到需要保护的账号密码和支付等领域启用，

有限的安全保护已无法满足网民需求。

说了这么多，你的网站是否需要启用https加密呢?如果是电子商务、金融、

社交网络等网站的话，最好采用https协议;如果是博客站点、宣传类网站、

分类信息、电子公告板或新闻网站之类，建议使用免费的https证书。从互联

网安全形势来看，https全网化是必然。

效果图：

收费的SSL服务总是比免费的更加周到，一般收费的SSL都会提供端到端的加

密。但是价格不菲，对于个人博客来说，这是一笔不必要的开销。我只是需要

看到网站地址栏有绿色的锁头，那就证明我们的网站相对安全了。

此外，使用https之后，谷歌、百度等搜索排名权值（PR等）也会有相对提升。

还有其他的一些，例如Cloudflare还提供免费的CDN和缓存技术，让浏览者有更好的体验~~

好了，说了那么多，直接看教程~~

传送门：https://segmentfault.com/a/1190000007740693