小网站用HTTPS不是赶时髦
你家楼下开个小卖部,门口挂个二维码收钱,旁边写着“支持微信支付宝”。可要是哪天有人偷偷换了二维码,顾客扫了,钱就进了别人口袋。这事儿听着离谱,但在网上每天都在发生——没HTTPS的小网站,就像那个没加锁的收款码。
数据裸奔的时代还没结束
很多人觉得,我这个站就是个企业介绍页,连表单都没有,何必折腾HTTPS?可现实是,哪怕只是展示内容,用户的连接过程也可能是被监听的。比如在公共WiFi下打开你的网站,中间人完全可以在页面里塞广告、改文字,甚至植入恶意脚本。用户看到的,未必是你写的。
浏览器现在对HTTP站点标记“不安全”,访客一进来就弹警告,信任感直接打折扣。你辛辛苦苦做的内容,可能因为一把红叉就被关在门外。
HTTPS不只是加密
它还牵着性能和兼容的线。现代前端技术像Service Worker、PWA、地理位置API,基本都要求HTTPS才能启用。你想做个离线可用的说明书页面?没HTTPS,免谈。再比如HTTP/2协议,能显著提升加载速度,但主流浏览器只给HTTPS站点开绿灯。
以前配HTTPS要买证书、搞域名验证、定期续费,确实麻烦。现在Let's Encrypt这类免费CA让这事变得跟装个插件差不多。Nginx加几行配置,自动签发,自动更新,运维成本几乎为零。
server {
listen 443 ssl http2;
server_name example.com;
ssl_certificate /path/to/fullchain.pem;
ssl_certificate_key /path/to/privkey.pem;
# 其他配置...
}硬件维护的角度看安全
我们常讲服务器硬盘要RAID,电源要冗余,可数据传输链路却赤膊上阵。HTTPS其实是最后一段物理链路的防护。用户设备到路由器,再到光猫、基站,这些“硬件”节点中任何一个被劫持,未加密流量就暴露了。加个证书,等于给这条通路加了层防窃听罩子。
况且现在连树莓派都能跑TLS了,硬件早不是瓶颈。老服务器换个新证书,比换块RAID卡简单多了。
别等出事才想起来补。某社区论坛一直用HTTP,某天突然发现注册页被篡改成钓鱼页面,用户密码全丢。查了一圈,就是没HTTPS,运营商劫持注入了JS。这种事防不住吗?其实一道加密就能拦住。
小网站不是没人盯,恰恰因为弱,才更容易成批量攻击的目标。自动化爬虫、钓鱼框架早就把HTTP站点列成清单,逐个扫描利用。主动升级HTTPS,是给自己划一条底线。