https安全吗？/http不安全？(1)
此副标题更新于2022-07-27 09:16。昨天又想到这个问题，在本栏目的第1篇，已经谈过这个问题。

如今的https链条发展现状，Chrome浏览器已经在地址栏里，给http打上了红色的“不安全”标签长达4年。火狐浏览器，对于https的链接，地址栏有一个绿锁图标。

“不安全”标签和绿锁的图标，给人一种强烈的意识：https自带杀毒功能。“不安全”，就给人一种带有病毒、严重漏洞的信号；绿锁给人一种全然安全的信号。

在2007年经历过熊猫病毒，以及2006年的网银盗密码病毒(非常厉害！)的朋友可能会知道，当年的这些病毒，都是通过网页的VBScript程序传播的，IE 6.0之下，遇到这种病毒的时候，会中病毒。

在当时，使用Firefox(火狐浏览器)，就再也不会中这类网页病毒，所以在当时，Firefox是一款相当安全的浏览器，可用于浏览各类从来没有访问过的新网站。至今，Firefox也是我唯一的主力浏览器，因为它能防范网页病毒。

当然，目前还没有一款绝对、全然安全的浏览器，任何防火墙、杀毒软件，都不能绝对防止任何木马，现在国内的支付系统，对于新设备登录、或者异地新设备登录，都需要短信验证，这一点极大地提高了安全级别。

有了短信验证，即使是在有病毒的环境里，或者即使对方知道你的登录密码，他也无法使用。

如今，如果使用https访问那些带有网页病毒的网站，且使用没有防范VBScript病毒的浏览器，依然可能会中病毒。但是，也不排除一些https供应商，在https上增加了检测一些病毒的功能。

因为https起的作用是加密传输；而客户端的网页病毒，是浏览器所承担的功能。

再简单地陈述总结：

https的功能分工：在所有的服务器节点当中，加密传输。
火狐、Chrome、IE、Edge、Safari、UC等浏览器的功能分工：防范网页病毒。

而一些浏览器把http贴上“不安全”的标签，或者把https标注为绿锁，是在混淆这2种功能上的分工：让人误以为https具有防病毒的功能。

https安全吗？/http不安全？(2)
(更新于2022-07-27 09:32) 把http贴上“不安全”的标签，或者把https标注为绿锁，就类似于在一个治安较为平稳的社会，如果白天出门不带各种防身器械，就会贴上“不安全”的警(隔开)告。

http是明文传输，相关的网络技术公司，完全能够修复这个漏洞，而不是新推出一个影响网站性能且价格昂贵的https、并且用各种手段抹黑使用了几十年的http。标注http为“不安全”的浏览器，居心叵测。

由于https的性能明显低于http，所以目前尚未有一个新的协议能够代替http，http仍然是一个重要的互联网传输标准。

加密传输是否有意义？
随着这几年，个别浏览器对http的日益抹黑，加密传输、隐私，逐渐成为很多专业网民关注的焦点，典型的案例就是一些大的论坛，之前是使用http，但是有一些坛友会建议尽快使用https。

可是，由于99.9%以上的网页，都是不需要加载Cookies，也就是不需要登录就能浏览，这些网页的URL本身是明文的，是否加密传输，结果都是一样，都能获得这个网页的内容。

所以，99.9%以上的网页不需要加密传输。只有网银系统、支付系统、会员登录页，加密传输有一定的必要性，即使没有https的全页加密传输，这些也能用JavaScript的前端加密(因为JavaScript是唯一的前端编程语言)，完全能实现http上的加密传输。

总之，简单地陈述：http本来是不存在安全问题的(因为能通过技术手段避免)，而是https为了推销SSL证书，矫枉过正地强调这个安全问题。

http的web劫(隔开)持(2)
(更新于2022-07-27 09:51) 这也是大部分人使用https的一个重要原因。目前，能够做到的web劫(隔开)持的环节，目前已知的只有运营商，以及路由器上的劫(隔开)持。

相关的网络技术公司，完全能够解决这个问题，也需要出台相关的法律来约束这种行为。

这类web劫(隔开)持，目前都是较为小打小闹，是一段JS广告代码，很类似于楼道里的“虎皮膏药”的小广告。这些web劫(隔开)持，如果是诈(隔开)骗信息，目前网络上还没有听说过。

且运营商不会发布这类明显的诈(隔开)骗信息，否则一告一个准。

路由器上的劫(隔开)持，这类可能是由于一些路由器的固件里有漏洞。解决的办法是使用大厂的路由器，或者重新刷一下路由器的固件。

浏览器上能显示SSL证书的到期时间
(更新于2022-07-27 10:20) 昨天发现，最新版的Chrome浏览器，对每个https站点，都能显示SSL证书的到期时间。这更加证明了强调SSL证书的有效期，以提示网站维护者及时续期(即续费)，进一步巩固SSL证书的销售链条。

自签名的https，能起到SSL证书一样的加密传输的作用，防止web劫(隔开)持的功能。但是，所有浏览器对于自签名的https，都会有一个不受信任、“是否添加到例外”的安全提示。

其实，起初我遇到这类不受信任、“是否添加到例外”，真的觉得那个网站不安全，全都关掉了浏览器。

出现这个问题，是由于SSL过期，没有及时续期，自动转为自签名的https。

后来，遇到这类不受信任、“是否添加到例外”的网站，我全都添加到了例外，完全不存在安全问题，也就是说：自签名的https、SSL的安全性能是一样的。

因为不受信任、“是否添加到例外”的这个安全提示，也是SSL证书的销售链条，为了强调SSL证书，而刻意做的安全提示。