推广 HTTPS 的道路从来都不是一帆风顺的,国外的互联网大头貌似都在飞快地推行着而且基本都已经实现全站了,国内推广的速度反而像蜗牛一样。BAT 也就阿里上了全站 HTTPS,百度也开始逐步迈向 HTTPS 的行列,像百度图片还没有。我也就不喷国内某大型社交网站登陆账号用的是 HTTP + GET 的方式请求了,虽然加了校验,但是还是有风险。
上全站 HTTPS 的流程大概是这样的:
买证书啊
中国的一个叫 WoSign 的 CA 之前给一个 schrauger.github.com 生成了一个 *.github.com 的 SSL,然后还有一个月内生成了几百个相同序列号的证书。Firefox 脑袋一拍,决定从 2016 年 10月份把它从信任 CA 列表中除名。对 WoSign 感兴趣?这里:CA:WoSign Issues,你也可以点上面那个 github 的地址,第一篇就是:The story of how WoSign gave me an SSL certificate for GitHub.com。
所以你需要考虑到底是用国内的还是国外的。就安全性来说当然是 GeoTrust 是最靠谱的,但是贵呀。如果你的企业有一定的背景,说不定还不让用国外的产品。
So… 如果你网管不小心配错了证书,但是你又开了 HTTPS 的端口,会这样:
或者这样: