刚发现常去的几个网站都有 https 了，是什么原因？

国内主要是被运营商劫持逼的

原因就是因为被流量劫持。

如果你要求不高的话， startssl 或者 letsencrypt 就行了，免费。
和硬件设备无关。

个人网站的开不开 https 无所谓，开了可以装个逼格，不开一般也没人劫持你玩。

@lyragosa 天天被劫持 另外用了 ssl 很拼 cpu

投入不大。

主要的工作是填以前的坑。。。

投入很大
前端机要增强 CPU 和内存，或者加机器，否则 QPS 降低还是挺明显的。
另外所有 CDN 要支持 HTTPS ，如果对 CDN 换域名，还要建一个 Keyless SSL 。
为了保证不被 HTTP->HTTPS 跳转时劫持，这个就只能上全站 HTTPS 和 HSTS 了。

因为 CDN 都大规模支持 HTTPS 了， 成本已经降低下去了。

没有 https 你的登录密码都是明文的

硬件投入不大，几乎不需要增加多少硬件资源。

主要是以前的资源升级到 https 的转换工作，对于一个庞大的网站，升级要处理的细枝末节太多了。
另外还有外链资源（比如 js 、 css 、图片），如果资源是自己不能控制的，那就蛋疼了。

社交网站最麻烦，因为嵌入太多外站图片，只能忍受蛋疼的混合资源，还有嵌入的第三方视频。除非出大成本把外链资源通过自己服务器中转。

知乎上 https 是必须的，否则匿名个 P 啊。
豆瓣应该也是劫持者口中的一块肥肉。

B2C ， C2C 上 https 的必要性就不需要重复说了，淘宝在这方面做得最好，当然最烂的毫无疑问就是 jd 啦。

这就该问各大运营商了 因缺思听

@Andy1999
@slixurd
@lhbc

咦，你们的回复似乎有点冲突，有说耗 CPU 的，有说 CPU 消耗不大的。

因为劫持啊，最近今日头条那六家都发表声明了，可是这六家里面居然有某数字和企鹅，印象中他们才是劫持的主力啊

@yeyeye http://webmasters.stackexchange.com/questions/28107/cost-of-using-ssl
Google 说的

@lhbc
我觉得理论上 HTTPS 资源消耗应该并不大。
但是我发现 CentOS + Apache + mod_ssl ，似乎每发起一个连接，内存占用就会增加返回文件的大小，不知我哪里设置错了。如果用 nginx 就没问题。

另外，如果没有 OCSP stapling 且客户端访问证书服务期很慢，或者虽然设了但服务期访问证书服务期很慢，而且网站访问量不大，那么首次连接查询证书吊销会比较费时。

知乎、今日头条等几个主流网站不是说联合抵制流量劫持吗，所以做了这些措施吧

然而微博仍没有 https 。。。

除了对付流量劫持， HTTP2 的优势也是一个原因吧

@lyragosa 之前我做了很简单的页面，还没写完呢，就*已经*被奠信盯上了。

http2 速度快。。。代价并不高。

反正我试了一下，全站 https 之后群众普遍反应慢。

考虑到群众没有多反馈劫持问题，所以我还是没加全站强制 https ，不过给了手动 https 选项。

https 当然耗资源的
那也是被逼的
不过也不是一下子就能上去 jd 现在首页 https 也正常了好像