年初的时候，一众“不可描述”的网站纷纷启用了HTTPS，业界大V都发推调侃，草榴、Pornhub等网站都使用HTTPS了，我们还有什么理由拖延。另外，为了推动HTTPS的进展，Chrome在浏览器地址栏将HTTP网站标注为不安全。

我相信很多人对HTTPS有一个大概的潜意识印象，但是具体的HTTPS的专业介绍和安全意义，应该没有看过术语描述吧。

HTTPS是将HTTP置于SSL/TLS之上，其效果是加密HTTP流量(traffic)，包括请求的URL、结果页面、cookies、媒体资源和其他通过HTTP传输的内容。企图干扰HTTPS连接的人既无法监听流量，也无法更改其内容。除了加密，远程服务器的身份也要进行验证：毕竟，如果你都不知道另一端是谁，加密连接也就没什么用处了。这些措施将使拦截流量变得极其困难。虽然攻击者仍有可能知道用户正在访问哪个网站，但他所能知道的也就仅限于此了。

• 如果你有任何机密信息，或者你要进行用户登陆，哪怕只是让管理员登陆，你就应该部署HTTPS。风险并非只存在于理论上。
• 决不要部分部署HTTPS：请将它用于所有内容，否则你将面临许多风险，比如session ID被拦截，其危害不亚于密码被拦截。
• 如果你部署了HTTPS，请将任何普通的HTTP请求都重定向至HTTPS的URL，以强制所有的请求都通过HTTPS来处理。
• 启用HTTP严格传输安全协议（HSTS）来进一步减少遭受攻击的可能。
• 在你的cookies，比如session cookie上设置安全标记，确保它们不会经由普通的HTTP请求而泄露。

HTTPS那么重要和有众多好处，我们又怎么能拖延升级呢，于是我也着手开始了推动HTTPS的启用。年初开始，我将自己手里的项目一个一个向HTTPS过度。到目前，我最后一个网站，自己的博客也全面启用HTTPS了。

我的博客托管在阿里云的虚拟主机中，但是虚拟主机不支持SSL配置，国内也几乎没有找到支持SSL的虚拟主机，无奈只能等虚拟主机即将到期时，将博客迁移到了独立服务器里，这才启用了HTTPS。

此外，我发布的WordPress主题也做了更新，支持HTTPS的站点。同时将代码全部托管到了Github，以后有BUG修复或者修改，直接同步推送到Github，安装包和更新包也在Github中下载。

TangStyle https://tangjie.me/tangstyle

JieStyle https://tangjie.me/jiestyle