谷歌要对HTTPS动手，只因大家对它误解太深

通过输入网址来打开网站，相信许多朋友的上网冲浪都是从这一步开始。即便移动互联网生态已经愈发成熟、APP也更为契合智能手机，但网页从始至终无疑都是互联网最为核心的组成部分。因此网页或网站的安全，也成为了互联网信息安全的重点，而为了保护用户不被不法分子侵扰，HTTPS安全浏览也逐渐成为网站的标准。

如果你在使用谷歌Chrome或者微软Edge这类基于Chromium的浏览器时，发现网站的地址栏里有一把“锁”，就证明了它使用了更加安全的HTTPS协议。

但如今谷歌要对HTTPS协议“动手”了，而更准确的说，谷歌并非开发新的互联网协议，而是要改变HTTPS协议的显示图标。日前谷歌方面在Chromium的官方博客中透露，未来将采用Tune图标来替代锁形图标，因为Tune这个图标更中立、也不容易让用户产生误解。

根据谷歌方面的说法，在相关调查中发现，仅有11%的受访者了解锁形图标表示网站采用了HTTPS，大部分受访者则误以为其代表网页内容更安全。

也就是说，虽然谷歌在Chrome上使用锁形图标是来表示目标网站使用了HTTPS协议，但让他们始料未及的是，大多数用户都将HTTPS协议和网站本身是非恶意划上了等号。显然这是不对的，因此谷歌选择放弃象征安全的锁，而用“Tune”这一既能提示链接是否已加密，又不会给用户提供安全的图标来替换。

为什么代表网站使用HTTPS协议的锁形图标，并不是网站安全的标志呢?这就要从HTTPS协议是什么说起了，而说到网页，HTTP协议自然就不能不提。超文本传输协议（英文:HyperText Transfer Protocol，缩写:HTTP）是一种用于分布式、协作式和超媒体信息系统的应用层协议，也是典型的请求/响应模型，是客户端向服务器发送一个请求报文，服务器以一个状态行作为响应，而响应的内容则包括协议的版本、成功或者错误代码。

而一个典型的互联网接入流程，则是这样的。假如要访问三易生活的官网，那么浏览器就需要先对3elife.net这个网址通过DNS协议进行解析，查询到我们网站的IP地址，再通过TCP协议将信息打包到数据包（packet）中交给网卡，然后使用HTTP协议访问web服务器，再根据对应的IP地址，网卡将数据包转换为电信号，并通过网线发送出去。

作为一个负责数据传输的应用层协议，HTTP相当于扮演的是快递员的角色。只不过由于HTTP是在上世纪90年代诞生，彼时新生的互联网远不如当下这般复杂，所以网络安全在当时甚至都没能成为一个课题，再加上硬件和资源的限制，HTTP协议是使用明文传输、数据并未经过加密。而明文传输带来的问题是无法防止中间人截获、盗取和篡改信息，而从路由器、运营商到对方服务器，中间的每一步都是明文。

最典型的例子，就是多年前有运营商会给用户访问的网页插入窗口广告。而在互联网世界里，明文传输无异于是小儿持金过闹市。因此HTTPS协议应运而生，它的核心变化就是使用了非对称的RSA加密算法，通过密钥把明文（原始信息）变成密文(明文变换后的信息)，这样一来，即使有黑客在数据传输过程中截获了数据包，也只能看到一团乱码，而不是敏感信息。

而这里就要划重点了，HTTPS协议只能确保用户在和真实的服务器通信，并且内容没有被篡改。简单来说，HTTPS协议能确保你访问的是baidu而不是baiidu，可以解决域名劫持、数据劫持或者DNS污染。那么问题就来了，如果采用HTTPS的网站本身存在问题呢?毕竟HTTPS只是数据传输安全的认证，不等于网站就是好网站，使用HTTPS协议的钓鱼网站按照Chrome的规则其实也能获得“锁形图标”。

没错，即使网站本身是为网络钓鱼、电信诈骗服务，但由于HTTPS是中立的，它无法分辨网页是正义、还是邪恶的，就导致了居心不良的网站也能使用HTTPS协议。也就是说，连接安全不等于网站的内容也是安全的，可过去在宣传HTTPS时，谷歌们似乎并没有注意到这一点。

长期以来，使用HTTPS协议安全、继续使用HTTP协议不安全，成为了各大互联网厂商齐心协力向用户灌输的观念，但如今看来，这一行动的效果似乎是好过了头。

毕竟对于互联网相关技术不了解的用户，并不知道HTTPS到底是保护什么，他们只能看到Chrome显示这个网站有象征安全的“锁”。而Chrome用“Tune”图标来代替锁形图标就是希望告诉用户，浏览器只能对网页的连接安全负责，至于网页到底是干什么的，他们并不负责判断。