浏览器要抛弃htttp？申请https证书趁早

　　不难，最快只要数分钟就可以实现，申请https证书：www.shuzizhengshu.com

　　互联网中从2014年关于https的相关新闻一直不断，例如：

　　某某网站用户信息泄露，因为没有实现https加密访问;

　　谷歌宣布提高https网站的排名权重;

　　百度实行全网https访问;

　　SSL数字证书网(www.shuzizhengshu.com)的https证书(SSL证书)2014年颁发量翻了一番;

　　搜索指数中关于https的关注度大幅度上升;

　　媒体建议网民在网上支付的时候一定要认证必须是https开头的网址;

　　......

　　各种事件都表明，web的https安全化已经是一个趋势了。像ServiceWorkers和推送这样的新功能过于强大，需要用HTTPS来保护用户和站主。HTTPS还可以防止恶意的Wi-Fi运营商或ISP植入代码(如定向广告)，给网站和用户造成长期影响。Google甚至希望所有网站都采用HTTPS加密。

　　而Mozilla的官方博客也在2015.4.30正式宣布了淘汰HTTP的方案。

　　其中包括：设定一个日期，所有的新特性将只提供给HTTPS网站;HTTP网站将逐步被禁止访问浏览器功能，尤其是那些与用户安全和隐私相关的功能。Mozilla此举是向Web开发者社区发出一条信息，他们需要确保网站的安全性，而只有整个Web社区和浏览器开发商联合起来，淘汰HTTP才能真正实现。

　　Mozilla计划不久之后向W3C WebAppSec工作组递交相关提议。

　　对于这项策略，也有不同的观点，总结无外乎以下几点：

　　1、SSL证书需要花钱

　　2、公开非敏感内容不需要加密

　　3、加密会导致网站速度变慢，性能下降

　　4、SSL本身也不是无懈可击(比如CA可以颁发假证书)

　　以上几点其实都不对

　　1、SSL证书目前正趋于廉价化，目前SSL数字证书网页可以提供低至百元左右的全球可信SSL证书;

　　2、GitHub被中间人攻击就证明不加密的网络的潜在危害是很大的。

　　3、硬件水平的增长和算法优化(比如Chacha20_Poly1305)，加密开销越来越在可接受范围内。

　　4、SSL相关的漏洞目前都有解决方案，比如为了对抗假证书风险，我们有Public key pinning。而且发假证书给CA

　　Mozilla安全工程师Richard Barnes近日也发出呼吁，号召开发人员放弃不安全的HTTP协议，全面转向HTTPS。

　　他希望浏览器能将更多的新功能仅开放给HTTPS，从而逐渐淘汰HTTP，目的自然是提高安全性。

　　他在一份报告中写到:"为了鼓励Web开发人员从HTTP转向HTTPS，我想提议设置一个淘汰不安全HTTP的计划。笼统地说，该计划会将(浏览器的)新特性限制在安全环境下，然后逐渐将原有功能从不安全环境中转移出来。如果有明确的HTTP淘汰计划，那就可以高速整个Web社区，明码文本的时代要过去了。这也能告诉全世界，新的网络基于HTTPS，如果你想尝试新东西就要考虑安全性。"

　　他还透露说，Mozilla已经准备开始实施这个计划了，并希望了解到Web社区、其他浏览器是否同样有兴趣。

　　HTTP淘汰初步计划:

　　准备工作:定义安全环境(privileged contexts)。

　　第一步:X.0天后，所有新特性都必须存在于安全环境下。

　　第二步:X.N天后，特定的现有特性也需要处于安全环境下，并兼顾安全、兼容性。

　　第三步:整个Web都基于HTTPS