Tag: https

https就是http secured，简单言之就是浏览器到服务器的数据传输是经过加密的，加密使用公密钥系统，无法轻易通过技术手段冒充服务器身份。 常用的浏览器是内置了几大CA机构的根证书的，授权这些根证书之后，由这些机构签发的网站证书，就会被你的浏览器所承认，你访问这些网站的https服务的时候，就不会有安全警告。否则浏览器会弹出一些“你是否信任该站点”之类的警告信息。据我观察，IE的警告信息最为轻描淡写，FireFox的最像系统故障而Chrome的最骇人听闻。当然，即便浏览器不信任你也可以手动信任之。无论证书本身的状态如何，浏览器总会通过适当的方式(URL颜色，或者一个小锁头)告诉你，你正在使用https浏览网页。 所以对于客户来说，https的意思就是：浏览器在使用https->我到服务器是安全的；浏览器没有弹出警告->服务器本身未被冒充。所以我的浏览是安全的。 其实这个逻辑大有问题。 有问题就有问题在，服务器本身未被冒充算什么安全……用户根本无从获得服务器本身的可靠性。花钱在域名、空间、CA机构是可以买到认证的证书的，他们可不是中国工商局，会因为你没有资质而不颁发证书给你。这是个跟狗的历史一样长久的问题：有钱就是好人么？ 答案显然是不是。更何况，还有不纯洁的CA这回事。参见http://blog.felixc.at/2010/01/throw-out-cnnic/ 既然只不过是钱的事情，那么浏览器对某些非盈利服务性证书告警，网站也就未必那么不可信，可能只是比较穷而已；但如果是对电子商务网站、金融服务网站的证书提出告警，那就大有文章了——连钱能搞定的事情都搞不定，这一定不是什么好货。始终牢记: 认证的证书仅仅说明现在访问的网站确实是是那个出钱在CA处买证书的网站主的，至于这网站主本身是不是好玩意儿，还是要擦亮眼睛。 另一件始终要保持清晰逻辑的事情是，使用未认证的证书的https网站，并不比网站同时提供的http服务更不安全，问问自己，如果网站干脆是http，你会用么？会的话，https你更可以放心用。如果你本身对这个没出钱到CA处买证书的网站主信任度比较高且你在这网站上提供的也不是什么大不了的信息，那请放心使用。 总之，不要面对浏览器的安全告警花容失色。