为什么国内网站不用 https?

贵
不重视

记得DNSPOD用

@pfitseng 小网站还说得过去, 但是对于新浪,网易这种网站钱肯定不是问题, 而且 https 这种对于大网站肯定也不会存在不重视的问题吧? 贵和不重视完全说不通啊

@chairuosen 看了, DNSPOD 确实用, 但是这也算是极少数了吧

举例：cnzz 不支持 https(几个月前,现在已经可以了)；百度分享、多说之类的服务不支持 https；很多 CDN 不支持；购买证书太贵；很少有大的主机商卖证书；互联网相关法律不健全，安全意识薄弱；使用 ssl 的社会风气缺乏。

还有，国内独立 ip 量少，而 https 在低级浏览器里 hosts 支持有问题。
能列出一堆可能的因素。

再比如，百度收录 https 有问题？

主要是安全意识薄弱，稍微有整站https的就吹个天大的牛皮——“银行级别加密”
就连webqq出来好长时间都不支持https，就算是现在也是默认不开，打开了以后有相当多的流量不走https，简直无语。

https://www.elinkvps.com

有在用啊...

方便监听明文

@cctvsmg 是啊, 这个我觉得挺难理解的. 如果是小站点买不起 wildcard ssl也就罢了(虽然可以买一些初级的 SSL), 门户站的服务为什么也不加 SSL 就很理解不了了, 至少 SSL 在很大程度上可以保护用户的信息.

本来想搞EV SSL 国外 130刀 都买了,结果不支持中国公司

国内一个EV SSL 卖**的几千块甚至上万块 没见过钱一样!!!

支付宝

@tension 土豪你这是在赤裸裸的打广告啊, 哈哈. 不过我看了一下, 网站本身并不强制使用 https, 而且用户登录也不强制 https, 这 SSL 钱花的不值啊, 呵呵.

@octopus_new 你可以访问网易的ssl看，CDN加证书代价也很大。

@sweethotdog 是的, 我也有这种考虑, 是不是 GOV 并不支持网站使用 https......

@shiny 看了一下, 结果:

@octopus_new 你要考虑到cdn ，而且ssl 影响性能。总之，布ssl 比较麻烦又增加支出，但对用户是透明的，不增长利润。webqq 自己搞了个vhttp，属于旁门。gov 应该是多虑了，根本不用操这心，具体看csdn 。

@octopus_new 我想设置强制SSL 来着,但是不会设置...

@shiny 而且我还试了一下网易 mail, 也太扯淡点了, 这可是标榜技术的门户网站啊:

@tension 我晕, 你这 web 系统是自己开发的还是用的第三方的程序啊, 怎么不会设置呢......, 这么多牛头人, 随便问一下就搞定了吧, 哈哈

@pfitseng 我觉得可能还是不重视, 和CDN或者性能什么的都没关系, 都是上市的门户网站, 连 SSL 这点钱或者性能问题都搞不定, 那还门户个毛啊.

@octopus_new 因为ssl要独立ip而cdn已经把证书给12306了。

大公司弄个证书还是没问题的。

SSL很影响性能，增加了工程的部署难度，增加了前端的开发难度，增加了流量。
这些都是钱啊！！对用户的安全性提升却是很少。。

顶多登录时用个SSL，保证你登录安全就行了。。至于隐私？呵呵

@shiny 你在说什么呢, 这个和12306有什么关系?

@icyalala 按照你这么一说, 那 Google 的 SSL 有什么意义? 国外公司用 SSL 有什么意义?

此外别忘了天朝整体的网络基础，一些落后地区HTTPS的连接成功率很低，更别说手机上了

方便监听

对于登录而言，https其实不是必须的，可以很容易避免重放攻击。

小网站搞ssl很容易，大网站分布式的搞https是很麻烦的事情

偶尔给你登陆地址弄个https已经很不错了 :P

@octopus_new 这不是在讨论国内网站嘛~~

国外对隐私、个人信息、安全都非常重视，即使内容的监听都容不得。SSL很有意义。
国内呢？必须接受内容审查，网络隐私不受保护。。

我发现大家都在说什么什么 CDN https 部署困难, 什么登录意义不大, 难道 facebook, twitter, Google, Amazone 部署 SSL 就特简单? 意义不大为什么海外公司都在用, 难道有钱没地方花了? 理解不了啊......

@icyalala 说来说去还是不重视......, 意义和钱都不是关键

打开http://www.126.com ，登录框下方显示“正使用SSL登”，但是明显不是https啊，而且表单post地址也不是https。难道有js会自动改变post地址？请前端高手来剖析下代码 - -

另外打算将我管理的网站的用户登录部分采用https了，https://mostlink.com

你从哪儿看到国内门户网站都不用https的？你看看谁家的登陆功能不走https的？
你不能指望新浪网易整站都走https吧？看个新闻走https有意思吗？
要说国外，你看看yahoo和msn的门户能走https？
请您移步去访问https://www.yahoo.com和https://www.msn.com看看

@webflier 从讨论的一开始我有说"整站"这个词么? 看阁下这语气是来打架来了? 作为保护用户信息的方式, 难道在客户登录的时候不应该使用 SSL 加密么? 你用 https://www.sina.com.cn 访问和用 https://www.yahoo.com 访问看看结果一样么, 雅虎直接返回 http, 而 sina 直接无法显示, 这不正说明国内网站不重视 https 连接么? 实在是不理解我踩到您哪里了, 让您这么不爽......

@coosir 我觉得使用 https 是一个网站重视用户信息最基本的表现, 我发现国外用户更倾向于使用有 ssl 加密的网站, 好像国内在用户这一块大家就很少 care.

@octopus_new 在我看来，国内的大部分大网站登陆都是走https的。所以我不觉得他们做的有什么问题。而你说国内门户网站很少走https，那请问你指的是什么？你这个结论是怎么来的？
雅虎直接返回 http, 而 sina 直接无法显示，这只能说明他们都不支持https.
我语气不好，我向你道歉。

@webflier weibo.com就不走 https, 而且微博貌似还要求了实名制. https://mail.163.com 在我这里也无法访问. 而且我从一开始也并没有说"都", 你从一开始的进入这个讨论就已经问题重重了......

@octopus_new
豁然开朗
原来你以为https://mail.163.com不能访问，就说明在http://mail.163.com/上的登陆动作是不安全的，不走https的？
我错了。。。。真的。。。。真不该插一脚的。。。。

我的两个域名都用了 https/SSL ，还是可以的。
https://zlz.im/
https://mthost.org/

@webflier 显式的在浏览器里使用 https 至少能让用户放心, 在登录框下面写个正使用 ssl 登录, 对用户来讲可信度有多少, 难道还要用户去看代码来确定? 为什么 Gmail 没在登录框下面写一个"正使用 ssl 登录"? 国内网站的设计本身就问题多多. 还有就是难道 weibo.com 也是"正使用 ssl 登录"? 或者国内很多网站都是 http 正使用 ssl 登录?

在登录框搞个要用户去勾的SSL登录选项，本身就是用户体验的问题。

@octopus_new 已经强制到HTTPS了!

@tension 你这服务真心给力啊, 土豪, 说干就干啊, 哈哈 :)

@coagent 是的, 感觉国内网站的体验不那么好, 这么多年好像改变也很缓慢. 可能公司大了一点点变动都变得很困难吧.

@octopus_new 说道这个...

我可以炫耀下 我自己注册了 elinkhost.co 和 elinkvps.co 吗?

为了客户加入少输入一个m 也能自动访问我们网站

抠字眼的话LZ这个是伪命题,当然意思大家都明白.
不要管别人用不用,自己搞的一定要用,还能顺道解决某些无良运营商污染HTTP的问题.

https://manager.host700.com/

=,= 一直都用

@046569 是啊, 我觉得 https 这个事情看上去无关紧要, 但是对于用户来讲, 至少让人感觉放心. 我之前做过两个同一领域不同公司(都是老外的公司)的online sales网站(A公司没有使用 ssl, B 公司用 ssl), A 公司 Google 排名靠前但是 online sales 每年会比 B 公司少大概300 - 500个 orders. 所以我觉得其实用户应该是在乎自己的信息的.

正面的说一下。

SSL的作用是在浏览器和服务器之间建立一条加密的通道，防的是能接触到你和服务器之间通信的第三者，捕获到私密信息。这样说来，内容、新闻类的网站，本身没有什么私密信息，那走https毫无作用。https是作用于那些包含了私密信息通信业务的网站，比如SNS、电商、邮件、包含登陆功能的站点等。

国外的用户(注意这里是用户)非常重视个人隐私，莫不如说西方社会对隐私和安全等非常重视。我在google搜索东西，不想让别人知道，防的是谁呢？我和google肯定是相互信任的，防的就是运营商、乃至政府(政府即使想嗅探，也要偷偷滴干，不然也会惹大麻烦)。 至于说购物、登陆密码等东西，更是需要注意安全了。 这些场景下，https很有必要，用户需要，网站为了服务用户自然也是需要的。

换到国内，“隐私”这种东西变得很微妙。用户和网站之间的通信内容，需要接受政府的审查和监管。用户和网站必须舍弃一些东西才能继续生存(CNNIC证书可信吗？如果不可信https有用吗？)。 不论哪一方面，大众对于"隐私"和"安全"的认知还不够。知道https作用的用户份额非常少，以至于即使163邮箱开通了整站https，也不会产生什么影响(geek们该不用的照样不用，普通用户不会注意这种改变)。 https这种东西在国内的作用，也只限于了保证登陆的密码安全，防黑客攻击。

最后，全站https提升了开发和部署难度、提升了运维成本，最终却难以给用户带来太多好处，绝大部分用户也不会领情。。嗯，真的没必要。

@tension 我记得这个还是源自我的灵感。。。

@icyalala 其实感觉这是个态度问题, alipay不就整站的 ssl 么. 就跟说:"反正给你自由你就一定比现在过得好么, 不一定的话..., 嗯, 真的没必要"一样. 是个姿态问题.

安全意识薄弱，配套网站不支持，……

DNSPod创始人不是在另一个帖子里说过么，DNSPod是很有安全意识的，从最初就是以很高安全标准来做的。所以DNSPod用https在意料之内。

另外，我记得百度不会收录https
以及，新浪微博组件 不支持https方式访问，等等

现在域名证书一点也不贵 wildcard都只要$8/yr

补充

国内几乎找不到一个支持https的CDN，无论免费付费的（貌似前几个月才刚刚出现一个号称支持https的，但是好像很少有人用）
也找不到一个支持https的图床/云存储（难得七牛云下有个qbox是有https的，上个月证书过期了也没人管）

[所以配套服务不支持https也是制约https在国内发展的因素之一]

小站懒得搞，大站搞了国安要来找~~~~~~~~

之前看163还是哪个门户，登录名和密码居然是明文传输的！
v2ex登录后还停留在登录页面，搞得我以为密码错了，试了好多遍。。

@sweethotdog 正解

@est 说得好！

豆瓣全站已经是全部 https 加密