如何看待百度全站搜索进入HTTPS时代？

百度自2014年底起，开始对部分地区开放了HTTPS加密搜索服务。直到上周，百度表示全站开启了HTTPS安全加密搜索。那么，该如何看待“百度全站采用HTTPS加密搜索”呢？

以下为来自知乎网友雷志兴-Berg的看法：

百度在工程开发上几乎不做没有性价比的事情。所以我们先看看https这个事情在技术上的投入在哪里。我没有参与此方面任何工作，都是根据我临时推想得到，比较乱，回头整理：

一、性能方面

1. 多几次握手，网络耗时变长，用户从http跳转到https还要一点时间

2. 机器性能，https要多做一次RSA校验

3. CDN，全国所有节点要支持https才行，另外，如果面对DDOS，https的解决方案也会复杂得多

二、对周边系统的影响

1. 页面里所有嵌入的资源都要改成https的，这些资源可能会来自不同的部门甚至不同的公司，包括：图片、js、form表单等等，否则浏览器就会报警。

2. 手机百度这类使用了百度搜索服务的客户端产品，也可能要修改

3. 解决第三方网站看不到refer的问题

4. 所有的开发、测试环境都要做https的升级

还有，上线前肯定是一大堆预案，保证切换过程顺畅，所以说下来，https这个事情的投入真心很大，不是说换就换的。

好了，这个事情的收益在哪里呢？用户的搜索安全

1. 被运营商强插广告，甚至在正常结果前面插一条广告

2. 有的时候劫持代码还会写错，导致用户访问白屏或者报错，妈蛋。

3. 手机上被浏览器或者什么卫士篡改或者劫持

4. 最恶心的是泄露用户数据，经常在网上看到说「我用百度搜了一个黄金，马上就有人联系我了」「我在百度上搜了一种病，马上医院就来电话了」

5. 另外，对百度的收入也有影响， 有不少公共wifi自动会自动给百度搜索加一个联盟的计费id。

其实在搜索HTTPS很久之前，百度就做了搜索结果url加密，我想应该是基于类似的考虑。

很多互联网公司在做大的时候都会遇到这个问题：https成本高，速度又慢，规模小的时候在涉及到登录和交易用上就够了，做大以后遇到信息泄露和劫持，想整体换，代价又很高。

三、https够不够？

肯定是不够的，但是没有更好的方案了。

附录：为什么更安全的 HTTPS 协议没有在互联网上全面采用？

• SSL 证书需要钱。功能越强大的证书费用越高。个人网站、小网站没有必要一般不会用。


• SSL 证书通常需要绑定 IP，不能在同一 IP 上绑定多个域名。IPv4 资源不可能支撑这个消耗。（ SSL 有扩展可以部分解决这个问题，但是比较麻烦，而且要求浏览器、操作系统支持。Windows XP 就不支持这个扩展，考虑到 XP 的装机量，这个特性几乎没用。）


• HTTPS 连接缓存不如 HTTP 高效，大流量网站如非必要也不会采用。流量成本太高。


• HTTPS 连接服务器端资源占用高很多，支持访客稍多的网站需要投入更大的成本。如果全部采用 HTTPS，基于大部分计算资源闲置的假设的 VPS 的平均成本会上去。


• HTTPS 协议握手阶段比较费时，对网站的相应速度有负面影响。如非必要，没有理由牺牲用户体验。


• 最关键的，SSL 证书的信用链体系并不安全。特别是在某些国家（咳咳，你们懂的）可以控制 CA 根证书的情况下，中间人攻击一样可行。

另外，在客户端被植入无数后门、木马的状况下，HTTPS 连接的作用非常有限。这也许是支付宝不可能像 PayPal 那么易用的原因之一。