豆瓣全面启用 HTTPS 安全连接
豆瓣 05-16-2016过去几个月我们逐步测试并上线了全站 HTTPS,对所有用户默认开启。你可能已经注意到了在访问豆瓣时浏览器地址栏会有一把小绿锁,这表示你正在使用 HTTPS 安全连接。
HTTPS 是一种加密的数据传输技术,是 HTTP 协议的安全版本。之前豆瓣只在登录和支付等安全要求较高的场景使用 HTTPS,现在我们在全站启用 HTTPS 出于以下两个原因:
一、保护用户隐私数据的安全
目前大部分国内网站都是使用 HTTP 协议,此时你在互联网上操作的数据是以明文传输的,这些数据在传输过程中可能会被窃取和修改。比如在使用公共场所的 Wi-Fi 时可能会遭受中间人攻击。移动互联网时代的上网环境更加复杂,明文传输引发的安全问题会更难防范。使用 HTTPS 后,可以有效避免这个问题。
二、提供更良好的用户体验
你可能曾遇到在访问豆瓣时网页右下角出现与网页风格不符的浮层广告,干扰正常使用。这不是豆瓣投放的广告,而是由于你的网络运营商进行数据劫持造成的。使用明文传输时,运营商可以识别并篡改网页的内容,嵌入广告牟取利益,极大损害了用户体验。
启用 HTTPS 安全连接之后,你在访问豆瓣时的数据都会被加密传输并进行校验,从而防治了以上问题。但与恶意的流量劫持行为的斗争并没有结束。运营商不仅会进行数据劫持篡改页面,也会进行域名劫持(又称 DNS 劫持),即将域名解析为其他 IP 地址,使用户无法与豆瓣的服务器建立安全连接。如果你无法访问豆瓣,或者有时一些图片无法正常显示,那你可能正在遭受域名劫持,此时可以:
1.向你的网络运营商打电话投诉。
2.运营商可能会使用各种理由推脱,当投诉无果时可以在这里向工信部申诉。
3.同时,你也可以更换用一些信誉较好的 DNS 服务。
如果尝试以上方法后问题仍没解决,请联系 help@douban.com 。我们已经收集了一些非法劫持流量的证据,也希望你在遭遇运营商劫持时不要沉默,请主动投诉以维护自己的利益,共同创造一个健康有序的互联网环境。
在推进全站 HTTPS 的道路上我们遇到了许多阻碍和技术困难并一一克服。它在提高安全性的同时也会降低性能,我们目前启用 SPDY 协议和 SSL Session 重用来应对这一问题,保证了在现代浏览器(包括 Chrome、Safari、Firefox 等主流浏览器)和移动 App 下的性能,HTTP/2 也在跟进中并会在近期上线。作为一项保护用户隐私安全的技术,HTTPS 是未来互联网的趋势,期望它可以成为行业标配。豆瓣也会持续探索新技术,为你提供更加安全的服务和良好的体验。