百度自2014年底起，開始對部分地區(qū)開放了HTTPS加密搜索服務。直到上周，百度表示全站開啟了HTTPS安全加密搜索。那么，該如何看待“百度全站采用HTTPS加密搜索”呢？

以下為來自知乎網(wǎng)友雷志興-Berg的看法：

百度在工程開發(fā)上幾乎不做沒有性價比的事情。所以我們先看看https這個事情在技術(shù)上的投入在哪里。我沒有參與此方面任何工作，都是根據(jù)我臨時推想得到，比較亂，回頭整理：

一、性能方面

1. 多幾次握手，網(wǎng)絡(luò)耗時變長，用戶從http跳轉(zhuǎn)到https還要一點時間

2. 機器性能，https要多做一次RSA校驗

3. CDN，全國所有節(jié)點要支持https才行，另外，如果面對DDOS，https的解決方案也會復雜得多

二、對周邊系統(tǒng)的影響

1. 頁面里所有嵌入的資源都要改成https的，這些資源可能會來自不同的部門甚至不同的公司，包括：圖片、js、form表單等等，否則瀏覽器就會報警。

2. 手機百度這類使用了百度搜索服務的客戶端產(chǎn)品，也可能要修改

3. 解決第三方網(wǎng)站看不到refer的問題

4. 所有的開發(fā)、測試環(huán)境都要做https的升級

還有，上線前肯定是一大堆預案，保證切換過程順暢，所以說下來，https這個事情的投入真心很大，不是說換就換的。

好了，這個事情的收益在哪里呢？用戶的搜索安全

1. 被運營商強插廣告，甚至在正常結(jié)果前面插一條廣告

2. 有的時候劫持代碼還會寫錯，導致用戶訪問白屏或者報錯，媽蛋。

3. 手機上被瀏覽器或者什么衛(wèi)士篡改或者劫持

4. 最惡心的是泄露用戶數(shù)據(jù)，經(jīng)常在網(wǎng)上看到說「我用百度搜了一個黃金，馬上就有人聯(lián)系我了」「我在百度上搜了一種病，馬上醫(yī)院就來電話了」

5. 另外，對百度的收入也有影響， 有不少公共wifi自動會自動給百度搜索加一個聯(lián)盟的計費id。

其實在搜索HTTPS很久之前，百度就做了搜索結(jié)果url加密，我想應該是基于類似的考慮。

很多互聯(lián)網(wǎng)公司在做大的時候都會遇到這個問題：https成本高，速度又慢，規(guī)模小的時候在涉及到登錄和交易用上就夠了，做大以后遇到信息泄露和劫持，想整體換，代價又很高。

三、https夠不夠？

肯定是不夠的，但是沒有更好的方案了。

附錄：為什么更安全的 HTTPS 協(xié)議沒有在互聯(lián)網(wǎng)上全面采用？

• SSL 證書需要錢。功能越強大的證書費用越高。個人網(wǎng)站、小網(wǎng)站沒有必要一般不會用。
• SSL 證書通常需要綁定 IP，不能在同一 IP 上綁定多個域名。IPv4 資源不可能支撐這個消耗。（ SSL 有擴展可以部分解決這個問題，但是比較麻煩，而且要求瀏覽器、操作系統(tǒng)支持。Windows XP 就不支持這個擴展，考慮到 XP 的裝機量，這個特性幾乎沒用。）
• HTTPS 連接緩存不如 HTTP 高效，大流量網(wǎng)站如非必要也不會采用。流量成本太高。
• HTTPS 連接服務器端資源占用高很多，支持訪客稍多的網(wǎng)站需要投入更大的成本。如果全部采用 HTTPS，基于大部分計算資源閑置的假設(shè)的 VPS 的平均成本會上去。
• HTTPS 協(xié)議握手階段比較費時，對網(wǎng)站的相應速度有負面影響。如非必要，沒有理由犧牲用戶體驗。
• 最關(guān)鍵的，SSL 證書的信用鏈體系并不安全。特別是在某些國家（咳咳，你們懂的）可以控制 CA 根證書的情況下，中間人攻擊一樣可行。

另外，在客戶端被植入無數(shù)后門、木馬的狀況下，HTTPS 連接的作用非常有限。這也許是支付寶不可能像 PayPal 那么易用的原因之一。