为何你会被强插广告？谈HTTPS连接的那些事(2)

HTTPS会带来一定的成本问题，大部分人开网站是为了赚钱，如果提升了用户体验却亏了，那还不如不开。

从HTTP转换到HTTPS是需要一定成本进行改造的，例如HTTP使用的是 80 端口而HTTPS使用的是 443 端口，同时HTTPS要比HTTP更加消耗资源，SSL握手需要更多的数据包，加密解密也需要额外的运算。

要保证用户体验，改用HTTPS后，设备也需要升级，例如购买SSL加速卡等等，对于一些大流量的站点例如视频站，这个成本是不容忽略的。

对于小网站，证书也是一个成本。HTTPS的证书需要专门的机构颁发，大机构颁发的证书不是免费的，每年都得交几百几千块钱才能申请到证书。小机构的证书尽管便宜甚至免费，但一来适用度不如大机构的证书，二来申请证书始终是麻烦事。

小网站的话，挂靠在拥有证书的服务器是个不错的办法，但更多人是懒得弄了，小网站本来就比较随意，反正连接没加密又不是不能用，哪有这么多心思弄证书。

如果证书不对，HTTPS连接会被浏览器认为不安全

除此以外，HTTPS的兼容也有一定问题。例如网站部署了HTTPS后，页面想要内嵌其他站点的内容，如果内嵌的只是普通的HTTP内容的话，可能会出现一些问题。你可以看到一些HTTPS网站中没法内嵌优酷、土豆之类的视频，看视频需要点击跳转，也是由于这个缘故。

因此，HTTPS主要还是一些资本雄厚的大公司以及对安全有着硬性要求的站点在用。例如Google，反正有钱，旗下所有网站部署HTTPS也烧得起;例如淘宝，有钱是一方面，作为一个购物网站，花钱这点小事和在安全上捅了篓子相比，根本不值一提，所以淘宝所有的页面都部署了HTTPS。

HTTPS是否万无一失?

使用了HTTPS，是否就万无一失了呢?也并非如此。HTTPS的证书就有可能存在安全问题，因为某些颁发证书的机构不按套路出牌。

某些机构会滥发证书，甚至会制造假证书，假证书可以用来进行中间人攻击。例如，当你使用HTTPS连接到某个站点，浏览器告诉你站点连接是安全的HTTPS，但不好意思，实际上这个HTTPS只是基于假证书的连接，你在网站上做的一切都有可能被假证书的机构窃听。

这种事情是真实存在的，例如Gmail使用的是Google自己的证书，但MCS就曾经伪造过Gmail的假证书。用户连接到Gmail的时候，由于Google和MCS都被系统和浏览器信任，所以MCS的假证书也可以用于Gmail的HTTPS连接，这等于是绕开了Google对Gmail的HTTPS加密，Gmail就被MSC劫持了。

（编辑：ASP站长网）