网站没用HTTPS，后果有多严重？

果子李瑛8

什么是HTTPS/SSL证书？
您每次访问网站时都可能会在URL栏中看到HTTPS协议，挂锁是表示已在该特定网站上安装SSL证书的符号，但是，SSL证书是什么意思？
SSL证书是将加密密钥绑定到网站名称及其他详细信息的小型数据文件。当SSL安装在网站的服务器上时，访问该网站的任何人都会看到类似下图所示的挂锁图标。另一个明显的变化是URL地址栏中的HTTP 将变为HTTPS。这意味着HTTP协议现在是安全的，也提升了用户对于网站的可信度。

最初，SSL证书仅在使用诸如信用卡，密码和此类信息等重要细节的网站上使用。但在近年来，网站使用SSL证书已成为一种不言而喻的规范，所以当网站使用SSL访问网站时，用户和服务器之间会创建安全会话。

为什么要使用HTTPS/SSL？
在HTTP的网络传输过程中，只要数据包被人劫持，那用户就相当于赤身全裸的暴露在他人面前，毫无半点隐私可言。想象一下，如果用户连了一个不可信的WIFI，正好使用了您的网站进行了注册登录操作，那么他的密码可能就到别人手里去了，后果可想而知。
HTTP 三大风险：
1.    窃听风险（eavesdropping）：第三方可以获知通信内容。
2.    篡改风险（tampering）：第三方可以修改通信内容。
3.    冒充风险（pretending）：第三方可以冒充他人身份参与通信。
HTTP协议没有任何的加密以及身份验证的机制，非常容易遭遇窃听、劫持、篡改，因此会造成个人隐私泄露，恶意的流量劫持等严重的安全问题。
HTTPS 解决方案：
1.    所有信息都是加密传播，第三方无法窃听。
2.    具有校验机制，一旦被篡改，通信双方会立刻发现。
3.    配备身份证书，防止身份被冒充。
如果用了HTTPS，用户将一些加密数据发送到服务器，如果有黑客拦截它，他会得到加密的数据，由于他没有解密该数据所需的私钥，所以对他来说绝对没用。
HTTPS协议中身份认证的部分是由数字证书来完成的，证书由公钥、证书主体、数字签名等内容组成，在客户端发起SSL请求后，服务端会将数字证书发给客户端，客户端会对证书进行验证，并获取用于秘钥交换的非对称密钥。
数字证书的两个作用：
1.    身份授权，确保浏览器访问的网站是经过验证的可信任的网站。
2.    分发公钥，每个数字证书都包含了注册者生成的公钥。在SSL握手时会通过certificate消息传输给客户端。
因此，使用HTTPS代替HTTP是必然的，互联网只有在安全的传输过程中才能保障数据的安全性，而HTTP已经不安全了。不过安装SSL证书还要选择可信的权威机构，这样能保障服务的完整性。

如何设置HTTPS/SSL？
HTTPS并不是免费的(免费的安全稳定性比较差)，申请安装配置过程比较繁琐，但是我们可以到国内各大互联网机构代申请，在此楼主推荐阿里云，您直接在阿里云快速申请免费的证书或购买高级证书，阿里云购买的证书可直接在CDN控制台选择。在平台上传域名证书/私钥，就支持对证书进行查看、停用、启用、编辑操作。免手动上传证书。