为网站和用户的数据上把锁的SSL证书

喜欢上网的用户都知道，打开很多网站，比如百度、淘宝的时候，在浏览器左上角会出现一把锁，这把锁表明该站已使用了HTTPS加密保护。其实不仅互联网巨头，大部分网站为提升安全性，都会使用SSL证书进行网站数据的传输加密，尤其是银行、金融类的网站，互联网已然进入全网HTTPS时代。

而如果没有锁呢？下面这个“不安全”的标记相信大家也不会陌生。当网站显示不安全的时候，你是不是觉得这个网站要么有病毒要么不正经？据说如果购物类网站出现这个标记，有60%的用户会放弃浏览，更不用说下单付钱了（谁敢？反正我是不敢）。

那什么是HTTPS？

得先从HTTP说起。HTTP协议，即超文本传输协议，是一个基于请求与响应的、无状态的应用层协议，常基于TCP/IP协议传输数据，是互联网上应用最为广泛的一种网络协议，所有的网站都必须遵守这个协议。HTTP的初衷是为了提供一种发布和接收网页的方法。其实我们每个人都离不开HTTP协议，当你打开一个页面或者APP时，HTTP就在运行了。

但HTTP协议有个明显的缺陷，就是它传输的数据都是明文的，比如你在网站上输入你的信用卡账号、密码、验证码等信息，点击发送，没有加密就发出去了，如果有人想搞破坏，检测或劫持了你发送的数据，是不是就看到了你的账号密码等信息？有了这些信息，攻击者是不是就可以随便刷你的卡了？在现实生活中，确实也经常听到身边的人被“盗刷”，都是因为这些敏感信息泄露导致的。

而HTTPS协议呢，顾名思义，就是在HTTP上加了把锁，让这个协议更Security（安全）了。多出来的这个叫“S”的锁，就是今天的主角SSL。可见，HTTPS协议，是一种通过计算机网络进行安全通信的传输协议，它通过SSL建立安全通道，对HTTP传递的数据进行加密，为网站提供身份认证，保护用户和网站交换的数据的隐私性与完整性。这样，即使数据被人监听或窃取，因为已经加了密，也没法知道里面的内容。

有了SSL的保护，你每天在淘宝逛、在百度搜东西，就不用担心你传出去的账号密码啊、银行卡验证码啊、金银珠宝啊、月光宝盒啊之类的被人窃取了。

除了提升安全性，SSL证书保护的网站还能提升用户对网站品牌好感度，提升SEO搜索排名。因为百度、谷歌等搜索引擎为了让网民获得更安全更好的网站访问体验，都鼓励网站使用SSL构建HTTPS，搜索排名也更偏向HTTPS的网站内容。

好了，说了这么多好处，到底怎么用SSL证书来保护网站呢？

首先，当然你得采购一张SSL证书。对于个人网站和中小企业来说，可以使用一些免费的证书，这些证书不认证服务器真实身份，只有加密功能，而且要定期更新；而大企业可以买收费的证书，长期有效，既要验证域名所有权，还要验证服务器真实身份，且有高额的保险，比如你是一个购物网站，那么购买收费的SSL证书相当于购买了一份保险。

接下里，按部就班地进行网站迁移，做好证书配置、资源梳理等工作就可以了，由研发和运维同学处理即可，网上有很多教程。

使用SSL证书对网站进行HTTPS化的好处多多，但也经常引起人们的误解，比如下面的五大误区。

误区一：HTTPS会使网站变慢

从理论上来说，因为HTTPS比HTTP多了SSL握手环节，人们可能会认为这一环节的增加会使得网站的访问速度变慢，事实上，该环节耗时仅几百毫毛（0.1秒=100毫秒），故很难发觉速度上的变化。

误区二：HTTPS会大幅增加CPU、内存等消耗

随着硬件性能的提升，HTTPS使用的CPU、内存的运算压力已经越来越少，再加上合理的优化和部署，硬件成本增加几乎可以忽略不计。

误区三：只有数据敏感的网站才需要HTTPS

银行、电商、金融等网站必须启用HTTPS是理所当然的，但是其他类型的网站是否有这个必要呢？答案当然是：有必要。因为HTTPS有助于保护读者的隐私和确保内容的真实性，Chrome等浏览器已经开始对非HTTPS页面进行警告，百度、谷歌等均给予HTTPS页面更高的搜索权重。无论从安全还是发展的角度，HTTPS对各个类型的网站都非常必要。

误区四：SSL证书很贵

既然HTTPS必不可少，那么我们就申请一张，但是SSL证书是收费的，而且不便宜？首先，SSL证书的价格在网络安全产品中属于较亲民的；其次，不同品牌的证书价格也是有高有低的，可根据预算进行选择；最后，SSL证书对数据、用户信息安全的保护价值远超过它的价格。

误区五：有了HTTPS网站就高枕无忧了

并非如此，HTTPS是利用SSL证书满足网络通讯传输加密和服务器身份验证这两个需求，如防窃取、防篡改等，别的众多的网站安全问题不可能仅靠一张SSL证书就可全部解决。但是传输加密和身份验证是网站安全的基础，HTTPS不是万能的，但没有HTTPS是万万不能的。

为方便用户使用SSL证书进行网站HTTPS化，华为云于去年推出了SSL证书管理服务，为用户提供云上一站式证书购买、管理、查询、验证等服务，将证书应用到杭州网站建设的各个环节中，实现网站的可信身份认证与数据安全传输。