百度从2014年开始对外开放了HTTPS的访问，并于3月初正式对全网用户进行了https跳转。

　　你也许会问，切换就切换呗，和我有啥关系？我平常用百度还不是照常顺顺当当的，没感觉到什么切换。

　　话说，平常我们呼吸空气也顺顺溜溜的，没有什么感觉，但要是没有了空气，那就没法愉快的生活了。https对于互联网安全的重要性，正如空气对于我们人类的重要性一样。百度全站切换到https之后，我们才可以愉快的搜索，愉快的上网。

　　https究竟是如何实现让我们更加安全呢，让百度技术宅来个深度揭秘:

　　问题1：https是什么？我有没有用到https？

　　https是httpoverssl(SecureSocketLayer)，简单讲就是http的安全版本，在http的基础上通过传输加密和身份认证保证了传输过程中的安全性。你通常访问的网站大部分都是http的，最简单的方法可以看看网址是以开头还是https://开头。

　　以下几个截图就是chrome,firefox,IE10在使用https时的效果。

　　注意图中绿色的部分, 我们后面详细说说。

　　问题2：https为什么比http安全?https加密是不是需要我在电脑上安装证书/保存密码?

　　不带“s”的http不安全，主要是因为它传输的是明文内容,也不对传输双方进行身份验证。只要在数据传输路径的任何一个环节上，都能看到传输的内容，甚至对其进行修改。例如一篇文章“攻下隔壁女生路由器后,我都做了些什么”中，很多攻击的环节，都是通过分析http的内容来进行。而在现实生活中呢，你很有可能泄露你的论坛高级会员账号/密码，游戏vip账号/密码，隐私的聊天内容，邮件，在线购物信息，等等。实在是太可怕的有木有！

　　https之所以安全，是因为他利用ssl/tls协议传输。举个简单的例子，电影风语者中，美军发现密码经常被日本窃听和破解，就征召了29名印第安纳瓦霍族人作为译电员，因为这语言只有他们族人懂。即使日本人窃听了电文，但是看不懂内容也没用；想伪造命令也无从下手，修改一些内容的话，印第安人看了，肯定会说看（shen）不（me）懂（gui）。看到这里，你肯定发现了，这是基于两边都有懂这个语言（加密解密规则）的人才行啊，那么我的电脑上需要安装什么密钥或者证书吗？一般情况作为普通用户是不用考虑这些的，我们有操作系统，浏览器，数学家，安全和网络工程师等等,帮你都做好了,放心的打开浏览器用就好啦。

　　如果你实在好奇，想知道双方不用相同的密钥如何进行加密的，可以搜索下”公钥加密”（非对称加密）,”RSA”,”DH密钥交换”,“ssl原理”“数字证书”等关键词。

　　有朋友会想了，不就是加密吗，我wifi密码都能破，找个工具分分钟就破解了。这个想法可不对,虽然没有绝对的安全，但是可以极大增加破解所需要的成本，https目前使用的加密方式是需要巨大的计算量（按照目前计算机的计算能力）才可能破解的，你会用世界上最强的超级计算机花费100年（只是一个比喻）去解密，看看100年前隔壁老王在百度上搜什么吗。

　　问题3：百度为什么要上https?

　　我们每天会处理用户投诉，比如说:页面出现白页/出现某些奇怪的东西；返回了403的页面；搜索不了东西；搜索url带了小尾巴,页面总要闪几次；页面弹窗广告；搜索个汽车就有人给我打电话推销4s店和保险什么的…

　　各种千奇百怪的情况碰到过的请举手。查来查去，很大一部分原因是有些坏人在数据的传输过程中修改百度的页面内容，窃听用户的搜索内容。悄悄告诉你，https就是能解决这样问题的技术哦,赶紧把浏览器首页改成https://www.baidu.com吧。

　　从方向上来说，HTTPS也是未来的趋势，目前大家使用的HTTP还是1.1/1.0版本的，新的HTTP2.0版本的标准已经发布了。标准中涉及了加密的规范，虽然标准中没有强制使用，但是已经有很多浏览器实现声称他们只会支持基于加密连接的HTTP2.0(https://http2.github.io/faq/#does-http2-require-encryption)。

　　问题4：https不就是在http后面加个s，很难么？

　　难，又不难。

　　它包含证书，卸载，流量转发，负载均衡，页面适配，浏览器适配，refer传递等等等等。反正我指头肯定不够数。

　　对于一个超小型个人站点来说，技术宅1天就能搞定从申请证书到改造完成。如果是从零开始建设，会更容易。

　　但是对于百度搜索这种大胖纸来说，可就难了。

　　1，它一开始并不是为https设计的