输入框里的http和https到底是啥？

相信各位小伙伴都知道，在登录页面没挂小锁的网站，等于在广场用喇叭喊密码。某高校学生用校园网选课，HTTP协议把学号密码写成明信片，被隔壁宿舍同学用抓包软件轻松截胡。很多大企业都已经不敢用HTTP了，用的话把POS机放马路边没区别。跟随我的脚步一起来看看吧！

它们的工作日常

1. 连接先亮证件（SSL证书认证）

2. 给数据套三层防弹箱（对称加密+非对称加密+哈希校验）

3. 传输数据设检查站（数据完整性验证）

TLS1.3版本把交接流程从7步压到3步，安全性大打折扣。

浏览器红灯预警系统

地址栏出现这三种情况赶紧撤：

① 小锁图标裂开（证书过期）

② 域名变红字（证书与网站不符）

③ 直接显示"不安全"（纯HTTP网站）

去年某银行官网证书配置错误，客户在假页面输了密码，损失金额能买三辆特斯拉。

速度与安全

拼多多全面启用HTTPS后，移动端加载速度反超HTTP版本。秘密在于：

HTTP/2协议多路传输，30张图片同时加载

TLS1.3握手时间从300毫秒缩到100毫秒

CDN节点自带SSL加速芯片

实测刷抖音用HTTPS比HTTP省电15%，因为加密芯片比CPU软解更高效。

经验案例

浙江某酒店坚持用HTTP传客户身份证照片，被黑产打包卖给出入境黄牛，维权时法院判决：未采用行业标准加密技术，赔偿全部损失。现在连街边打印店都挂着HTTPS，毕竟泄露客户文件赔得比赚得多。

黑客最喜欢的

某小说网站觉得"我们没用户数据不用加密"，结果被植入挖矿代码，访客电脑集体变成比特币矿工。安全机构监测到：自动化攻击工具每天扫描8500万个HTTP网站，看见漏洞就塞广告/偷流量/装后门。

小白保命做的三件事

1. 输密码前检查地址栏带不带小锁

2. 公共WiFi弹出登录页认准HTTPS

3. 浏览器跳证书警告直接关页面（除非内网环境）

记住：现在连智能电表都在用HTTPS传数据，你的账号比电表值钱多了。

技术换代生死时速

全球HTTPS流量占比已达95%，中国政务服务网全部强制加密。5G时代HTTP就是互联网裸泳者，苹果iOS早封杀HTTP接口，微信小程序2017年就禁用HTTP请求。现在还不用HTTPS？黑客最喜欢来找你来了！