在Google眼中，所有的HTTP網站都不安全

Google正在推動整個互聯網由HTTP協議往HTTPS協議過渡，這項工作由Google搜索和Chrome瀏覽器挑頭。

2014年4月，WSJ一份報告指出，Google在其搜索服務的結果排序上開始考慮“加密”因子，如果某些網站啟用HTTPS加密，它將獲得比平時更高的排名。此前，Google一直宣傳搜索結果排序僅考慮“質量”和“體驗”。

2014年8月，Google宣布將“加密”正式作為搜索結果排序的影響因子。這將有一段寬限期，目前“加密”因子的影響力還很微小，但隨著時間增長，它會越來越高，直至所有網站都切換到加密模式（HTTPS）。

2014年12月，Chrome瀏覽器團隊發起提議，建議大家對地址欄的網址是否加密進行明顯標記。這份提議希望，在經過過渡期后，加密的網址（HTTPS）正常顯示，非加密網站（HTTP）將提示“不安全”。

Google希望推動的HTTPS協議，是HTTP協議的安全版本。HTTP是在互聯網上使用最為廣泛的一項網絡協議，它用于客戶端和用戶端之間傳遞信息，其最著名的應用是瀏覽器，我們平常上網用的IE、Chrome、360瀏覽器就有賴于它才能工作。

HTTP傳輸的內容是明文的，你上網瀏覽過、提交過的內容，所有在后臺工作的人，比如路由器的所有者、網線途徑路線的不明意圖者、省市運營商、運營商骨干網、跨運營商網關等都能夠查看。如果你訪問的是國外網站，那么還得加上國際寬帶出口、國外運營商等。這串名單可以不斷延伸，一直到你對互聯網由崇拜轉為恐懼。

HTTPS在HTTP的下層添加了加密功能，通過HTTPS協議傳輸的內容，除非上述這條鏈路的參與者提前準備，否則傳輸過的信息是基本不可能被解密的。而提前準備，攻擊難度也非常高。

這是Google希望互聯網HTTPS化、乃至于提出“HTTP = 不安全”口號的原因，過去數年里，我們一直生活在明文時代，上網的所有痕跡都暴露在巨型機構眼中。

美國NSA利用Google服務產生的cookie來精確定位他們懷疑的任何一位嫌疑人的上網痕跡；Verizon在其銷售的運營商定制機上跟蹤用戶上網記錄；康斯卡特與中國所有的寬帶運營商們無差別的對用戶瀏覽的網頁實行JS注入，在頁面上廣告彈窗；以及那座“不世之作”，由海量思科設備堆起來的“寬帶出口防火墻”。

在它們面前，我們其實并無隱私可言，不分國籍、不限地域。

但升級HTTPS亦是大難題，它意味著基礎設施、網絡架構、底層服務提供商發生變化。HTTPS被稱作緩存終結者、性能殺手，僅僅Google一家，很難推動大家去做改變。

特別是，還有觀念上的變化，那些漠視用戶隱私的國度里，誰來承當Google的角色呢？指望那家連HTTPS網站都不收錄的百度？

題圖來自wikipedia.org

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。