为什么网站需要全站https加密？

很多人都觉得，HTTPS可以保护用户的密码等登陆信息，那么其他时候就不需要了。但火狐Firefox浏览器插件Firesheep，证明了这种想法是错的。我们可以看到，其实在一些社交平台，劫持其他人的session是非常容易的。我们以常见的咖啡馆的免费WiFi环境为例，这就是一个很理想的劫持环境，因为两个原因。

1. 这种公共场合的WiFi通常不会加密，这就是提供了监控所有流量的可能性。

2. WiFi通常使用NAT进行外网和内网的地址转换，所有内网客户端都共享一个外网地址。这意味着，被劫持的session，看上去很像来自原有的登录者。

如果登录页使用了HTTPS，但是登录以后，其他页面就变成了HTTP。这时，它的cookie里的session值就暴露了。

也就是说，这些cookie是在HTTPS环境下建立的，但是却在HTTP环境下传输。如果有人劫持到这些cookie，那他就能以你的身份在社交平台上发言了。

那么全网加密和只加密注册登陆页面，对网站运营者来讲，成本有很多的区别吗？

其实不然。一张证书可以只是保护一个域名下所有的页面，如果有很多的子域名，则一张通配符证书就可以搞定。而这些证书的成本最低几百元即可申请。

(图片来源于网络，如涉及侵权请告知，我们将会在第一时间删除)

实现全站https加密有什么好处？

1 、保障用户隐私信息安全：SSL证书让网站实现加密传输，可以很好的防止用户隐私信息如用户名、密码、交易记录、居住信息等被窃取和纂改。比如电商网站安装SSL证书，就可以有效保障你登录电商网站支付时提交的用户名密码的安全。

2、帮助用户识别钓鱼网站：SSL证书可以认证服务器真实身份，可以有效的区别钓鱼网站和官方网站。网站部署全球信任的SSL证书后，浏览器内置安全机制，实时查验证书状态，通过浏览器向用户展示网站认证信息，让用户轻松识别网站真实身份，防止钓鱼网站仿冒。

3、利于网站SEO优化：因为部署了SSL证书的网站相比没有部署SSL证书的网站更加可信，更加安全，可以有效的保障用户的利益不受侵害。因此搜索引擎如谷歌，百度站在确保用户信息安全的角度，都在大力倡导网站部署SSL证书实现https加密访问。在搜索、展现、排序方面也给予部署了SSL证书网站优待。

4、提升公司品牌形象和可信度：网站部署SSL证书，让您的网站与其他网站与众不同。部署了SSL证书的网站会在浏览器地址栏显示https绿色安全小锁，如果是部署的EV SSL证书还会显示绿色地址栏和单位名称。可告诉用户其访问的是安全、可信的站点，可以放心的进行操作和交易，有效提升公司的品牌信息和可信度。

延伸阅读：部署SSL证书为什么需要全站HTTPS加密？