谈谈我们为什么暂时没有使用SSL加密
自从谷歌宣布从chrome 68开始全面封杀http网站以来,大量的网站纷纷升级到https了。在国外几乎全部都是https的网站了,但是在国内目前仅有部分大网站和大网站的部分频道采用https,有的页面仍然为http。许多个人博客网站基本改为https加密网站了,因为担心害怕被谷歌浏览器判断为不安全网站从而影响用户访问,但是如果你的SSL证书是无效的,那还不如不升级。下面我要说的是为什么我们的网站仍然不使用https呢?
SSL加密固然是个好东西,无非就是去申请个证书。有很多免费的证书申请完了就可以安装使用了,但是安装完毕后又是301、又是修改链接的,的确是一个耗时耗力的大工程。怕麻烦是一方面,当然我们可不是怕麻烦,我们还有很多的观点。
首先,如果你申请的证书可以一直续签并且永久免费那么以后就不用担心证书的问题了,可是一旦开始收费以及不能续签,由于返回到http需要大量的成本,因此逼迫你只能继续用https,首先SSL证书必须得要免费稳定可以每年续签。我们只是暂时不改变,维持现状。https已经是大势所趋,就跟当年的全球封杀IE6浏览器一样,但是这需要时间,一般是五六年甚至更长的时间。IE6浏览器从2011年就开始被全球用户抛弃,2014年全球才下降到了几乎为0。但是中国是个例外,2011年还有超过20%的全球市场占有率,超过一半的电脑都是IE6浏览器。随着2012年后HTML5的兴起,以及webkit(chrome)内核的浏览器开始以打开快响应快被用户接受后,IE6才慢慢被抛弃。直到去年国内的IE6才降低到了可以几乎忽略不计,但是是在1%以下,要变成0还得需要1-2年,总共花费了至少五六年的时间才慢慢的因为浏览器的更新换代而被抛弃。可以说当年的IE6用五六年的时间被抛弃,那么今天http也得至少需要5-6年甚至更长的时间才能被彻底抛弃。国内的网络环境决定了一切,政府网站很少全站加密的,这与美国等西方国家是完全不一样的。所以要想让国内网站全换成https是需要时间的,耐心地等吧。快则3-4年,慢则7-8年,10年都有可能。
不是我们不接受新东西,愿意去守旧。而是一些因素的考虑,比如虚拟主机很多不支持https,能支持的太少了,要是全都支持那不早就升级了。服务器的升级倒是最简单的,有的就说谷歌封杀关我屁事,反正老子也不上谷歌。但是这就要说国内为什么对于谷歌浏览器的封杀无关痛痒,首先谷歌浏览器国内是有很多人用的,但是基本全都不是从谷歌网站下载的原版浏览器,而是在国内的那些软件下载站下载的,因为上不了谷歌啊。就算是那个能打开的国内站,下载还得需要那个被封的网站支持,因为连不上所以照样下载不了。所以大家用的几乎都是被阉割了服务的浏览器,很多东西打不开不能用。最重要的就是国内无法自动升级,升级需要连接谷歌的国际站。打不开自然也就无法自动升级,新的浏览器也就用不了,因此国内的谷歌浏览器全部都是旧版本,40-60版本的居多,60以上很少听说使用的。只要是68以下版本,准确的说是62以下的谷歌是根本管不了的,不会存在http被封杀的情况。
再就是国内chrome内核的浏览器太多了,只要是个高速浏览器全是这个内核的。谷歌浏览器的用户在国内毕竟是少数,绝大部分都是360、UC、搜狗等浏览器的用户。与其他国家只有谷歌浏览器没有自己的浏览器的生态完全不一样,中国的浏览器多的眼花缭乱什么样的都有,使用开源内核套上自己的皮肤就是一个新的浏览器了,既然有那么多的选择因此也没有必要非得使用你谷歌的浏览器,所以就算是你封杀http但是我用的不是chrome浏览器,跟我自然没有关系啊。就算使用chrome浏览器,请问你用的是68版本吗?肯定不是恐怕都是60以下的老版本,绝大部分是40、50版本,根本就封杀不了。不过随着时间的推移,该来的迟早要来,但是这需要时间起码2-3年,毕竟生态不一样。
如果国内的360浏览器也开始封杀了那么我想国内的网站就好开始全都换成https了,错,根本不可能也不现实。别说360谁都搞不起来,就是那些大网站还有部分http页面,也不是全https的。再说了政府的网站、教育网站还没开始弄,你先说人家的网站不安全,请问你以后还干不干了,在天朝还混不混了。起码得等老爷们点头同意出文件了,那就真正开始了。而到了那个时候不仅是全国网站https的时候,那也正是我们网站https的时刻。
什么时候我们才能改成全站SSL加密,等一切在国内成为主流就是我们安排SSL的时刻。我们的访客都是来自国内,面向的也是国内。对于谷歌浏览器的封杀国内用户自然是无关痛痒,因为那是给外国人搞的。我们的用户也没有国外的,况且他也看不懂中文啊,有几个会去访问的,封杀无所谓,反正也不缺几个看不懂中文的外国人。不安全就不安全呗,安不安全全靠他一张嘴,真是把他厉害的,安不安全自己体验一下不就知道了。谁在这里喊狼来了,大家都知道。我们是为我们国人服务的,所以根据的也是国内的网络环境来安排部署,不是根据你谷歌的封杀来安排的,就问你一句你算老几,你算哪根葱,就没点数吗,不知道wall的厉害吗。