详解99.9%的网站没必要用https(续4)：SSL的原始动机

订阅本博客

如何订阅博客？

Blog首页关于作者 Blog存档联系自由勇网站地图

王志勇发表于 2021年01月26日 08:28

本文有些句子可能有些刺耳，继续讲真话，可能会得罪一些人。这是博客开通这么多年以来，第一篇带有刺耳的句子，尤其是要谈谈现在流行的“毒瘤”问题。虽然中文博客圈已经在前几年突然衰退，但是这几年又有很多兴起的优秀博客。

本博客虽然没有什么成绩，但是在线时间还是很长的，是真的从2006年在线至今，一年续费就几十元，这些年也见过、经历过互联网上的一些血雨腥风。本博客不是第一批博客，第一批的中文独立博客最早大约是2003年建的，也可能有极个别是2002年就有了(如王建硕博客可能是2002年建的)。2003年最早的独立博客有毛向辉、文心、竹笋炒肉。2004年上线的独立博客，数量也不多。2005年稍微多一点，比如无聊布棉、犯贱报等等，总数不超过50个。2003年～2006年建立的中文博客，现在除了王建硕、阮一峰、魏武挥、刘云天、尺宅江湖、月光博客、车东、aw、布鲁斯狼、老鬼、popoever等人(还有极个别想不起来的)，其余的博客因为各种原因99%全关掉了。圈内的重量级技术人物王垠、郝培强起初因为某种原因，可能是怕麻烦，是后来才建独立博客。

现在也有看到一些2002年～2006年的博客，请恕我孤陋寡闻，也许当时不知道他们有博客，也许他们的博客就是那时候在线至今，估计至少有一二十个博客是这种情况。但是有很多是那时候注册了域名，但域名一直闲置，或做别的类型的站，其实很多是2015年以后建的博客。2013年以前建的博客都不多。或者有的人是收购的老域名，这几年新建的博客。也有一些200X年的博主，后来域名掉了，这几年又重建博客。(列举这一段，是想说明老博主、老站长更知道http的份量，现在还在坚守http的人大多是老站长。)

也有少数博客是2009年、2011年左右建的，现在都算很老的博客了。2006年～2008年开通的博客，现在只剩不到20%，现在还在线的博客大多有5年以上没有更新了。

关于博客上线时间，比如我在2004年1月注册了一个刚掉下来的域名zj7.com，(同时还有zj5.com，zj6.com，zk5.com，zk8.com等都能注册，类似的域名几十个，都是刚掉下来的)，但就是选中了zj7.com，开始的想法挺好，但一直闲置。直到2009年，这个域名建了一个博客，名称是和平海底2站，发了153篇，大约有10万字，数据现在还在。当时建这个2站的原因是想在那个博客写些真话，写了很多。但是我在zj7.com的网站简介里，写的是博客于2009年开通。(此域名注册时无比兴奋，慢慢就没感觉了，大概2016年时没续费了。)

2002年～2008年是独立博客的巅峰期，因为那时候Goo(隔开)gle有做PR值评分，而且当时没有今天的短视频等平台分散的流量，博客的流量很容易达到一天500～1000IP以上。这批博客大约在2012年～2014年间，25%以上都没有坚持下来，关闭了。

当然，本质上网站没有新旧，3年后就变老站，30年后99%的人都不会再坚持写博客，没有多少人还会想起他曾经存在过。

这里想说的是这几年，国内的新博客圈特别青眯SSL。只有在线时间长的博客，才经历过很多年的http。直到最近一些浏览器，给Let’s Encrypt的免费证书，打上了“证书风险”，大家才慌了。这不是强迫用户去购买收费的SSL证书吗？

最离奇的关闭的中文博客
毛向辉的博客isaacmao.com(2003年时PR值7)，大约2009年关闭。他曾在博客里批评过ICP备(隔开)案，可能是这个原因导致博客被GF*，因为他当时发了这篇，没多久，博客就不能访问了。

访问速度严重下降
本栏目第2篇，发现ping值150ms以上的服务器，加了https，访问经常会延迟几秒。如果没有加https，访问很快。

https为什么会这样慢呢？应该是因为算法太过于复杂。
如果重新优化，完全可以比http快，或者一样快。

“毒瘤”问题
虽然“毒瘤”是一个很不好的恶性词汇，但我发现这个刚流行起来的网络词，很多人说某些是毒瘤的时候，都形容得很准确，这是因为这些平台太不重视用户的体验，而且是践踏用户的体验。

比如在2018年7月给http打上“不安全”的浏览器的第一家公司，众所周知是哪家公司。这样没有职业道德底线的世界级的公司不倒闭，没有天理。用误导公众的方式，污蔑http为“不安全”，来推销SSL。

同样的事情出现在1月20日刚刚卸任的某(隔开)国总统。他的卸任为什么中国官(隔开)方会特别关注呢？

因为他在任的这几年，做出了很多制裁中国经济的事情。并且在去年，无底线地污蔑中国，央视对此及时反击。这次不但我们官(隔开)方希望他下台，连我们公众也迫切希望如此，人心所向。

https的弊端
如果建一个博客，正好使用ping值100ms以内的服务器无妨，比如在欧美的人使用欧美主机，在中国的人使用亚洲的主机，https的访问速度几乎看不出影响。

也有很多人认为https的多路复用会加速。在本栏目第2篇，已经分析过。

无论是访问速度、响应速度，还是多路复用，实际测试，https都比http慢。是使用gtmetrix.com测试，VPS为美国主机，这样测试服务器和被测试的VPS之间，都在美国同国，网络极其流畅。

但对于建网站https就是个噩梦，因为多域名、多二级域名都要添加https，还要定期维护，是非常麻烦的事情，还会占用服务器资源，需要长期忍受网站速度下降。

除了支付系统、会员登录系统需要加个https面子上好看一些，其余网站真的到目前为止还没有多少必须加https的理由。

在http上，可以用JavaScript等技术手段，做前后端加密，即前端的input密码框发送前加密，并运用动态的方式，每次刷新的加密公式都不一样，存储的密码再加密，而且JavaScript完全是可以隐藏的，这种方式只要算法公式不特意公开专门讲解，任何黑(隔开)客永远都无法破解，比https+无前后端加密(密码明文存储)还安全。

前端的input密码框发送前加密，因为加密规则是保密的，即使电脑里被中了病毒，这个密码也不会被泄露。

有了这种替代方案，就不能说http不安全，也不能说https安全。

SSL的业务本质
SSL其实和国内的ICP备(隔开)案很异曲同工。所不同的是，SSL是各种第三方收费认证；国内的ICP备(隔开)案是地方ZF机构做的免费登记。

SSL不是新鲜事物，2004年时已经有一个带√的标志的VeriSign，就是做SSL的。然后慢慢地，GoDaddy等网站，也在卖收费版的SSL。

从archive.org可以查到，国外有知名度的网站约99.5%以上在2014年年底以前都是http，甚至包括Goo(隔开)gle旗下的所有站点。

SSL本质上就是给钱就认证，商业版的价格在本栏目第1篇罗列过，再重复贴一下：

万网：
GeoTrust：保护1个域名 ¥2191元/年起，保护5个域名 ¥4250元/年起
Symantec：保护1个域名 ¥4250元/年起，保护5个域名 ¥21250元/年起
GMO GlobalSign：保护1个域名 ¥11090.8元/年
中国金融认证中心(CFCA)证书：保护1个域名 ¥3400.00元/年起

西部数据west.cn：
Symantec 企业型（OV）：保护1个域名 ¥3880/年
GeoTrust 企业型（OV）：保护1个域名 ¥2137/年
TrustAsia 域名型（DV）：保护1个域名 ¥8/年

国内的SSL销售价格，大致相似。国外的SSL价格，我搜索了一下，比国内低很多，但仍然价格不菲，大约是国内的1/5～1/2。上述这些，是现行的SSL主流在售价格。

如果您有多个域名、多个二级域名，SSL将是很大的一笔开支，已经是服务器费用的10倍以上；一个大的站点，如果有多个二级域名，本来1000多～2000元的总成本，如果全部加上SSL，一年就是几万元。

免费SSL的弊端
Let’s Encrypt的免费SSL，现在一些浏览器加上了“证书风险”的标签，可能有人会在意，有人不在意。除了这个弊端之外，Let’s Encrypt每次只能续期3个月。

我们常常见到一些有使用https的博客，访问就会出现如下图：

或者这样的页面：

这是因为Let’s Encrypt的3个月有效期已到，续期后立刻恢复正常。

如果自己的站点因为SSL到期，出现这个提示，这时候千万不要点击“我已充分了解可能的风险”，因为点击之后，当SSL到期后自己的电脑永远没有这个提示，导致自己将来会不知道过期了。但在别人的电脑、手机里，还有这个提示。

免费SSL在浏览器上显示“证书风险”的实质
基本上就是强迫用户使用收费SSL证书。这类浏览器和给http标注“不安全”的浏览器，同样没有职业道德底线。不能说人家免费提供的同样具有技术标准的SSL有“证书风险”的问题。

虽然我的大部分网站都没有使用https，只有注册、登录的二级域名不得不加个https。对于“不安全”，或者“证书风险”的提示，我个人的感觉是：这是误导性提示。除了见怪不怪，保持从容淡定，没有别的办法。

被追捧的SSL
SSL的弊端本栏目前几篇已经分析过了，严重影响速度，维护麻烦。恰恰是中文博客现在特别追捧https，而且这两年一年比一年重视https，原因是如果不加https，一些浏览器会显示“不安全”。

借用台湾的一位大文学家的话说，https这么烂的一个东西，为什么要追捧它？

大家都不用它，它就没有了市场。

http提示“不安全”、证书风险的解决办法
这些提示本来就是误导性。我家人看到这些提示时，我都会告诉他们这些提示没关系。

运营商对http劫(隔开)持的对策
有一些不一定是运营商劫(隔开)持，而是路由器劫(隔开)持。这些本来就是严重的非(隔开)法的勾当，用户可以举(隔开)报。定罪的话，问题可大可小，往大了定就是非(隔开)法入(隔开)侵。

为什么SSL会有市场？
能够获得市场的，都是满足一种刚需，或者底层的刚需。安全、不安全，都是他们说了算，大多数人没有提出怀疑。

SSL创造的远不止300%的利润，和域名一样，批量发售后，接近0成本。

本篇为什么会以博客开头？
因为现在的博客，是https最大的驱动力之一。

11条评论：

1 老杨 2021-01-26 14:15
Let’s Encrypt 可以到期自动续签。腾讯可以申请到一年期免费证书。

自由勇 2021-01-27 07:30
那挺方便。

2 angel2018 2021-01-26 15:07
2019年申请了免费的SSL了，但觉得勇哥讲得有点道理，只要不登陆加密类型的，加不加http没关系了。
所以到目前也没用上SSL。

自由勇 2021-01-27 07:30
是的，SSL影响速度。

3 CcChen 2021-01-26 21:39
https慢，主要是因为有墙在，国内有https的站也非常快。我用梯隔开子走国外的https站也很快。密文传输和明文传输安全性还是有点区别的。从安全性角度考虑，如果条件具备，还是建议使用https的。

自由勇 2021-01-27 07:31
是的。https对国际线路的要求很高，瓦工的美国VPS，对https也有影响。
我用的是一般的洛杉矶VPS，http很快，https就很不稳定。

hostloc.com也用美国线路、https，但是速度很快，丢包率0%，他这样的线路需要花费很多的时间和$来测试。

4 小陈故事 2021-01-28 12:12
个人看法。我是觉得看怎么评价什么叫中文博客，记得有一阵好多人还坚持叫Blog网志、部落阁，而不愿意叫博客。
可能基于你的兴趣点，文中举得几个博客例子都是偏技术流或是当时的偏意见领袖。记得04年受影响搭个人站的时候，当时个人网站真是叫百花齐放，有网页的还有全站flash的，很多上面都有日志版块、有交互，只是这一类算不算你文中定义的独立博客？至今印象里还记得很多设计很精美、内容很有意思的网站。

自由勇 2021-01-28 12:23
都算独立博客。是的，博客是方兴东先生命名的词语。但是圈内很多人还是称为blog，或weblog。
本文举了一些以前的历史博客，有个原因是现在有很多人认为https是博客、网站的标配。
而在2015年的前几年建立起来的博客，就不怎么在意。
还有一种局面上的误解，有的人认为老站都是https，好像很多年以前都是https了(曼德拉效应)。https其实是最近两三年推进的。

5 小陈故事 2021-01-28 12:23
关于SSL这个，你确实有点执着，佩服。这个我和你的看法有一致也有不同，不可否认有些场景明文传输安全性是要差些。但浏览器大厂一刀切的提示不安全的作法不是很认同，有SSL可以提示更安全，但没有SSL提示不安全就有点不厚道。这就有点恐吓式营销的味道了。目前还有些免费SSL提供，到收割期的话，估计个人网站又会放弃一大片。

自由勇 2021-01-28 12:32
赞同，这一层我的观点和你的观点几乎没有不同。之所以这个话题到现在还不能停下来，是因为https对于建站是一种技术上的灾难，影响速度、增加时间和金钱上的成本。

就是这样一回事，SSL可以标为更安全，或者安全+ (但浏览器也不必为了推行SSL，在显著的位置标明“高安全等级”。) 某浏览器在URL前面加个红色的“不安全”，已经实行了2年多，居心叵测。

引发了这第4篇的文字也上线了，是因为最近我也偶然隐约发现某国产浏览器(现在是国内一线大厂)，在一些SSL上标明“证书风险”，现在连淘宝网页、淘宝的登录站login.taobao.com，在这款浏览器里，也全都提示“证书风险”。Let’s Encrypt的免费SSL都提示“证书风险”。(标注“证书风险”的做法和标注“不安全”同样欠妥，矫枉过正。)
Chrome尚未有“证书风险”的提示。

但这款国产浏览器在平时还是不能卸载，有不可替代的作用，本博客之前还特意表扬了这个浏览器。

“不安全”提示的始俑者浏览器，除了偶尔需要做兼容性测试，一般不使用。

自由勇 2021-01-28 12:41
这个栏目之所以上线了，是因为2018年以前，2019年还有大量的http支持者(现在渐渐变少了)，http支持者大多为老站长；https如果使用国外空间，很明显影响速度，使用http速度则比较快。

抱歉，评论已关闭。