技术支持

百度从2014年开始对外开放了 https 的访问,并于 3 月初正式对全网用户进行了 https 跳转。很多用户看到这个新闻都比较好奇,在新闻站点,微博,微信和贴吧,知乎等站点进行了热烈的讨论,这里我们也从一个普通用户容易理解的角度来看看大家的问题。

百度从2014年开始对外开放了 https 的访问,并于 3 月初正式对全网用户进行了 https 跳转。很多用户看到这个新闻都比较好奇,在新闻站点,微博,微信和贴吧,知乎等站点进行了热烈的讨论,这里我们也从一个普通用户容易理解的角度来看看大家的问题。

1、https 是什么?我有没有用到 https?

https 是 http over ssl(Secure Socket Layer),简单讲就是 http 的安全版本,在 http 的基础上通过传输加密和身份认证保证了传输过程中的安全性。你通常访问的网站大部分都是 http 的,最简单的方法可以看看网址是以 http:// 开头还是 https:// 开头。

以下几个截图就是 chrome,firefox,IE10 在使用 https 时的效果。

9983e5b3d1edc80ea2e498621db9dfaf.png

39321fef2b69abce6a62c33061a9897f.png

4df7a3fcc39a79b05198d502b9590906.png

注意图中绿色的部分 , 我们后面详细说说。

想进一步了解 HTTPS,可以阅读《大型网站的 HTTPS 实践(一)-- HTTPS 协议和原理》

2、https 为什么比 http 安全 ?https 加密 是不是需要我在电脑上安装证书 / 保存密码 ?

c7cef0df2ccf12fe082123eb7fab67de.png

http 不安全,主要是因为它传输的是明文内容 , 也不对传输双方进行身份验证。只要在数据传输路径的任何一个环节上,都能看到传输的内容,甚至对其进行修改。例如一篇文章”攻下隔壁女生路由器后 , 我都做了些什么” 中,很多攻击的环节,都是通过分析 http 的内容来进行。而在现实生活中呢,你很有可能泄露你的论坛高级会员账号 / 密码,游戏 vip 账号 / 密码,隐私的聊天内容,邮件,在线购物信息,等等。

https 之所以安全,是因为他利用 ssl/tls 协议传输。举个简单的例子,电影风语者中,美军发现密码经常被日本窃听和破解,就征召了 29 名印第安纳瓦霍族人作为译电员,因为这语言只有他们族人懂。即使日本人窃听了电文,但是看不懂内容也没用;想伪造命令也无从下手,修改一些内容的话,印第安人看了,肯定会说看(shen)不(me)懂(gui)。看到这里,你肯定发现了,这是基于两边都有懂这个语言(加密解密规则)的人才行啊,那么我的电脑上需要安装什么密钥或者证书吗?一般情况作为普通用户是不用考虑这些的,我们有操作系统,浏览器,数学家,安全和网络工程师等等 , 帮你都做好了 , 放心的打开浏览器用就好啦。

如果你实在好奇,想知道双方不用相同的密钥如何进行加密的,可以搜索下” 公钥加密”(非对称加密),”RSA”,” DH 密钥交换”, “ssl 原理” “数字证书” 等关键词。

有朋友会想了,不就是加密吗,我 wifi 密码都能破,找个工具分分钟就破解了。这个想法可不对 , 虽然没有绝对的安全,但是可以极大增加破解所需要的成本,https 目前使用的加密方式是需要巨大的计算量(按照目前计算机的计算能力)才可能破解的,你会用世界上最强的超级计算机花费 100 年(只是一个比喻)去解密,看看 100 年前隔壁老王在百度上搜什么吗。

3、百度为什么要上 https?

72e3781d933a8b84a8034d0686239f1f.png627d58ad29578cd620ea7af7fc023021.png我们每天会处理用户投诉,比如说:

  • 页面出现白页 / 出现某些奇怪的东西
  • 返回了 403 的页面
  • 搜索不了东西
  • 搜索 url 带了小尾巴 , 页面总要闪几次
  • 页面弹窗广告
  • 搜索个汽车就有人给我打电话推销 4s 店和保险什么的

各种千奇百怪的情况 , 查来查去,很大一部分原因是有些坏人在数据的传输过程中修改百度的页面内容,窃听用户的搜索内容。悄悄告诉你,https 就是能解决这样问题的技术哦 , 赶紧把浏览器首页改成 https://www.baidu.com 吧。

从方向上来说,HTTPS 也是未来的趋势,目前大家使用的 HTTP 还是 1.1/1.0 版本的,新的 HTTP2.0 版本的标准已经发布了。标准中涉及了加密的规范,虽然标准中没有强制使用,但是已经有很多浏览器实现声称他们只会支持基于加密连接的 HTTP2.0(https://http2.github.io/faq/#does-http2-require-encryption)。

4、https 不就是在 http 后面加个 s,很难么?

难,又不难。

它包含证书,卸载,流量转发,负载均衡,页面适配,浏览器适配,refer 传递等等等等。反正我指头肯定不够数。

对于一个超小型个人站点来说,技术宅 1 天就能搞定从申请证书到改造完成。如果是从零开始建设,会更容易。

但是对于百度搜索这种大胖纸来说,可就难了。

  1. 它一开始并不是为 https 设计的
  2. 内容丰富(内容本身的表现形式很多:图片,视频,flash,form 等等),种类丰富 (页面上除了自然结果,有视频,图片,地图,贴吧,百科 , 第三方的内容 , app 等等)。
  3. 数据来源复杂,有几十个内部产品线的内容,几百个域名,成千上万个开发者的内容
  4. 百度在全国,甚至世界范围都有很多 idc 和 cdn 节点,都得覆盖到。
  5. 还不能因此拖慢了百度的速度 (国内使用 https 的银行 , 在线交易的站点,有没有觉得很慢?)
  6. 上 https 本来就是为了更好的体验,可不能导致大家使用不稳定。

    想了解更详细的内容,可以阅读《大型网站的 HTTPS 实践(四)-- 协议层以外的实践 [1]》
    Google 部署 https 花费了 1-2 年,13 年将证书从 1024 位升级到 2048 位花了 3 个月。百度也是去年就开放了入口和小流量,但是今年 3 月才进行全量上线,可以想像整体的复杂性。

5、如何看待百度搜索支持全站 https?

国外的几个大型站点都 https 化了,这是未来互联网的趋势 (有兴趣的同学可以搜索下’http/2’ )。

对百度自身来说,https 能够保护用户体验,减少劫持 / 隐私泄露对用户的伤害。

很多人会有疑惑,我没有被劫持,百度上 https 有什么作用,反而让我变慢了一些。从我们的第一手数据可以看到,劫持的影响正越来越大,在法制不健全的环境下,它被当成一个产业,很多公司以它为生,不少以此创业的团队还拿到了风投。等它真正伤害到你的时候,你可能又会问我们为什么不做些什么。所以,我们宁愿早一些去面对它。

https 在国内的大型站点目前还只用在部分账户的登陆和支付等环节。百度也是国内第一个全站 https 的大型站点,它的用户非常多,流量也很大。百度能够上线 https 会打消大家的疑虑,对其他国内的站点是很好的示范,这个带头作用会显著加速国内互联网 https 的进程,有助于互联网的网络安全建设。百度作为搜索引擎,是流量的入口和分发的渠道,后续如果对 https 的站点内容的抓取,标记,权值倾斜,那么更能引导互联网的网站向 https 进行迁移。

6、https 慢不慢 ?

如果什么优化都不做,https 会明显慢很多。在百度已经进行过很多速度优化的条件下,如果站点本身已经做过常规优化,但是不针对 https 做优化,这种情况下我们实测的结果是 0.2-0.4 秒耗时的增加。如果是没有优化过的站点,慢 1 秒都不是梦。至于现在慢不慢呢,大家已经体验了这么多天了,有感觉吗?

答案:A 慢死了,你们在做啥 ? B 有些慢啊 C 还行 , 基本无感 D 啥 , 我已经用了 https 了?

是不是选的 C 或者 D?喂喂,选 A 的那位 你打开别的网站慢么 , 以前没有上 HTTPS 的时候慢么。。。隔壁老王在蹭你网呢。

所以,不是慢,是没有优化。

7、https 耗性能吗 ?

答案是,握手的时候耗,建好连接之后就不太耗了。按照目前加密强度的计算开销,服务器支撑握手性能会下降 6-8 倍,但是如果建立好连接之后,服务器就几乎可能撑住打满网卡的 https 流量了。所以连接复用率的提升和计算性能的优化都是重点。可以阅读《大型网站的 HTTPS 实践(三)-- 基于协议和配置的优化》

8、劫持有些什么样的途经 ?

你的电脑,你设置的 dns,你的浏览器,你用的网络,都有可能被劫持。

简单和大家介绍下运营商的内容劫持是如何进行的,运营商会分析你的网络请求,它可以先于网站回包,也能修改数据包的内容。所以它可以让你跳转一次,在网址上加上小尾巴,也能在你访问的页面弹出小广告。

感兴趣的话,还可以通过这篇文章看看你的电脑如何被 lsp 劫持的《暗云木马》

9、https 解决了所有劫持问题吗?

俗话说有终有始,我们来说一说文章开始说的浏览器上的绿色标记。它标志着这个安全连接可信赖的级别。绿色通常是好的,黄色则是说明有些不安全,例如在 https 的页面中加载了 http 的资源,这样 http 的资源还是有被劫持的风险。

其实客户端,局域网的风险也很大,恶意插件,木马可以做很多事情,你使用的路由器,DNS 也比较脆弱。如果某个大型网站被标记为了红色,那你就更要小心了 (当然也可能是某个猴子忘记了续费替换证书,导致证书过期了),你有可能遭受了 ssl 劫持 (中间人攻击的一种),特别是遇到如下图提示的时候(访问一些自己签名的站点也会有类似的提示)。中间人攻击还有其他种类的,比如代理你的通信让你退化 http, 还可以利用注入根证书,可以让你浏览器还是绿色的标记,就问你怕不怕?

d640274f654f9fd467b52feffb853b05.png 934b1660769a2a1097050bd66637368d.png

还是那句话,没有绝对的安全,但是我们可以尽量降低风险。

https 能够在绝大部分情况下保证互联网访问数据传输的安全,这是目前我们力所能及的工作。

原文来自:http://openweb.baidu.com/doc/security/https-faq.html