HTTPS 全站加密可能是大勢所趨

那天一個讀者在線找我，上來就跟我談技術。

她：老師，我們全站啟用 HTTPS 了，你覺得怎么樣？

我：沒什么啊，不過你們是做什么的？

她：我們是做網絡直播的。

我：… 直播網站啟用全站 HTTPS ？有必要嗎？你們是哪一個網站？

她：斗魚。斗魚是目前國內首家，也是目前唯一全站升級到 HTTPS 的網絡直播平臺。

我不是網絡直播的目標用戶，不過，一個視頻網站啟用了全站 HTTPS ，說明還是有技術追求的，這個事情也是有技術含量的，可以聊一下。

作為一個不懂技術，尤其是「不寫代碼」的離任 CTO，跟人家討論技術是挺難為情的事兒。萬一露餡了怎么辦？所以，有不對的地方，歡迎指出。

HTTPS 這事兒，國內不少網站也就是用來保護一下用戶數據，用戶登錄的時候啟用而已。更多時候，出于性能開銷上的折衷考慮，基本上都是非加密傳輸數據。多媒體文件，尤其是流媒體，明文傳輸似乎不會出現什么安全問題，然而，實際上也會產生非常嚴重的后果，比如被惡意劫持流量，頁面上動不動插入一個小廣告。而訪問者還以為這是受訪站提供的廣告。如果是正常的廣告還可以忍，然而色情賭博虛假醫療廣告比比皆是。這當然不是好的用戶體驗。

所以，在我們這個特定環境下，重視 HTTPS 是應該的，更不用說出于保護用戶隱私等目的而去部署 HTTPS 了。

其實，作為一個技術團隊負責人(CTO)，今年至少有幾個關于 HTTPS 的標志性事件應該引起你的關注（要不可真不太合格）：

1. 油Tube 啟用 HTTPS 加密，全站 97% 的流量均通過 HTTPS 傳輸(還有 3% 是因為要兼容舊設備)。

2. Netflix 宣布將使用 HTTPS 加密流視頻。流視頻的加密傳輸是個技術難題，但 Netflix 無疑找到了一個平衡。

3. 蘋果公司在 WWDC 2016 宣布，到 2017 年 1 月 1 日 App Store 中的所有應用都必須啟用 App Transport Security 安全功能。App Transport Security（ATS）是蘋果在 iOS 9 中引入的一項隱私保護功能，屏蔽明文 HTTP 資源加載，連接必須經過 HTTPS。

從全球范圍看，推動 HTTPS 技術的公司里，Google 最為積極，專門做了一個專題頁面監控「各大熱門網站的 HTTPS 實施情況」，而 Google 全站到目前已經有超過 85% 的鏈接啟用了加密。對比之下，中國的互聯網公司對這方面的重視程度并不夠。所以，這位斗魚的朋友帶著一點自豪感來跟我講這個事兒是有一定緣由的。

重視 HTTPS 是一種義務和責任 。

見微知著，一個公司如果能在技術層面比別人做得更進一步，愿意做投入，去做一些改變用戶體驗的事情，其他地方想必也會花心思，據斗魚介紹，一個直播房間已經可以支撐百萬人同時發彈幕。單從技術的角度講，用戶對彈幕系統的要求其實也挺高的，需要能支撐高并發、實時性的系統，做起來同樣存在難度和挑戰。

一個有追求的技術人在這樣的團隊里會遇到技術上的挑戰，當然工作成果也會得到重視。

來自：https://zhuanlan.zhihu.com/p/23480182