牛仔很忙之大话 HTTPS

中秋前，本牛仔正在苦思新任务的对策，突然桌面右下角的小企鹅一阵跳动：“刚收到消息， 第三方下载的 XCode 被植入后门， N 多 app 信息疑似泄密。还是你们用安卓的好啊，唉。” 移动组的壕星在灌水群里发了条消息，这家伙又准备显摆他的肾 6s 了。

“啊？说说都哪些 app 受影响了，我得赶紧改密码”。新人小夏一边掏出小米一边噼里啪啦敲了一行字。

“切~”群里众人一同发出鄙视的表情。

看了看时间，我知道今天的放羊时间到了，反正也想不出来，索性起身倒杯茶跟他们唠唠。再次坐下时，未读消息已有 99 。“这帮牲口，不知道我有强迫症吗？” 我下意识地展开聊天记录，开始从第一条读起。

“据说， iOS9 把所有的 http 请求都改为 https 了。”壕星总结到，“没看到咱移动组最近正在加班么，服务端得升级啊，不然没法玩。”

“什么是 HTTPS ？”小夏弱弱的问。

“……这么简单的问题自己问度娘吧。”不禁为我的机智点赞，本牛仔一向善于将复杂事情简单化。

“既然你诚心诚意的问了，我就大发慈悲的告诉你好了。”这向来是公司的技术大牛 K 哥最喜欢的出场方式。

“先说结论： HTTPS 是以安全为目标的 HTTP 通道，简单讲即 HTTP 下加入 SSL 层。如果原来的 HTTP 是塑料水管，容易被戳破；那么如今新设计的 HTTPS 就像是在原有的塑料水管之外，再包一层金属水管。一来原有的塑料水管照样运行；二来用金属加固了之后，不容易被戳破。主流浏览器都已经实现了 TLS/SSL 的支持。 Apple 让你的 HTTP 采用 SSL/TLS 协议，就是让你从 HTTP 转到 HTTPS 。”虽然不爽 K 哥冒泡，不过不得不说他很会比喻。

“ HTTP 不也用了那么久，怎么就开始用 HTTPS 呢？”小夏看到各种术语，开始有点懵了。

“不适用 SSL/TLS 的 HTTP 通信，都是明文传播，有三大风险：” K 哥的字里行间无不透露逻辑清晰条理分明。

1. 窃听风险（ eavesdropping ）：第三方可以获知通信内容。
2. 篡改风险（ tampering ）：第三方可以修改通信内容。
3. 冒充风险（ pretending ）：第三方可以冒充他人身份参与通信。

而 SSL/TLS 协议是为了解决这三大风险而设计的：

1. 所有信息都是加密传播，第三方无法窃听。
2. 具有校验机制，一旦被篡改，通信双方会立刻发现。
3. 配备身份证书，防止身份被冒充。

“噢， K 哥真腻害，一讲我就懂了。”小夏夸奖道。“那这么说，岂不是将来所有网站都会用 HTTPS ？”小夏接着道，又加了个羞涩的表情。

机会来了，“ Moz 网站早在 2014 年 9 月份的调查数据显示： 17.24%的站长表示其网站已采用 HTTPS 协议； 24.9%的站长表示正在搭建中； 57.85%的站长虽表示目前仍无此项计划，但考虑到同年 8 月份谷歌宣布采用“ HTTPS 加密协议有利于搜索引擎排名”的震撼消息，虽然 HTTPS 的普及仍需时日，但增长趋势毫无疑问。”既然 K 哥如此风骚的抢风头，我当然要迅雷不及掩耳之势来反攻。 cv 了一段调查报告，喝了口茶，坐等美女们的钦佩。

“ K 哥知道的真多，刚好我们产品主页要升级 http2.0 ，经理让我们调研下全站 https 实现， K 哥你觉得好吗?”另一产品组的美女开发小 Q 跟着起哄，瞬间把我的聊天沉了底。

“啊，那真是极好的。 HTTP2.0 的优势譬如流复用、请求优先级、头压缩以及服务端推送等皆是建立在 SPDY 基础上的。” K 哥毫不客气的继续引领风骚。“ SPDY 协议则是 Google 提出的，在 SSL 层的基础上，增加了一个 session 层，从而在一个 TCP 连接中，实现了多并发和交叉流传输，达到低访问延迟的同时加载时间能减至 50%。”

“听起来很不错呢，看来我得抽空去升级下个人网站了，大家记得加友链哦。”同组小 C 最近被不少客户加了友链，开始上瘾了。

“啊，那我也去升级好了，感觉 out 了…”有个人站点的同事纷纷输入。我不禁嗤之以鼻，只有 HTTPS 算什么，我会告诉你们我所在的牛盾早就结合了 CDN+SSL 么。

“不错，另外，欢迎大家去试试我们的牛盾云加速产品， HTTPS 站点全线 CDN 加密加速的支持哦，安全性更是可以放心交给我们打理。” K 哥适时又抛出重磅炸弹，我则哀怨的望着输入框未发送的类似的内容。

等等，我的任务不正好要整个产品推介么，虽然灌水的这帮牲口思维跳跃大了点，不过内容却是本牛仔需要的，我笑而不语的按下了 cv …