什么是 HTTPS，为什么它很重要？

Question

什么是 HTTPS，为什么它很重要？

Accepted Answer

**HTTPS** 是用 **TLS encryption** 保护的 HTTP — 它加密浏览器和服务器之间的数据，保护数据免受窃听和篡改，并验证服务器的身份。对于任何处理敏感数据的网站（现在对所有网站都是标准）都是必不可少的。

## HTTPS 提供的内容

```text
HTTPS = HTTP over TLS (Transport Layer Security). It provides:
  ✓ ENCRYPTION → data in transit is encrypted → eavesdroppers can't read it (passwords,
    data, cookies are protected on the network)
  ✓ INTEGRITY → data can't be tampered with in transit (detect modification)
  ✓ AUTHENTICATION → verifies the server's identity (via certificates) → you're talking
    to the real site, not an impostor (prevents man-in-the-middle)
```

## 为什么这很重要

```text
Without HTTPS (plain HTTP), data travels in PLAINTEXT:
  ✗ anyone on the network (public WiFi, ISPs, attackers) can READ it → steal passwords,
    session cookies, personal data
  ✗ data can be MODIFIED in transit (inject content, tamper)
  ✗ no way to verify the server is genuine (impersonation/MITM attacks)
→ HTTPS protects against all of these — essential for security and privacy.
```

## 它如何工作（简要）和现代做法

```text
→ The server has a TLS CERTIFICATE (from a Certificate Authority) proving its identity
→ TLS handshake → establishes an encrypted connection (key exchange)
→ Let's Encrypt → FREE certificates → no excuse not to use HTTPS
→ HTTPS is now STANDARD for ALL sites (browsers flag HTTP as "not secure"; SEO favors
  HTTPS); HSTS forces HTTPS
```

## 为什么这很重要

理解 HTTPS 及其为什么重要是必不可少的，因为 **传输中的数据加密是 web 安全和隐私的基础**，而 HTTPS 现在是所有网站的标准，所以这是必须了解的基础知识。

HTTPS（用 TLS 保护的 HTTP）提供三个关键保护：**加密**（传输中的数据被加密，因此窃听者无法在网络上读取密码、数据或 cookies），**完整性**（数据在传输中无法被篡改），以及**身份验证**（通过证书验证服务器身份，确保您与真实网站通信，而不是冒充者）。

理解 **为什么这很重要** 是关键动机：没有 HTTPS，数据以 **明文** 形式传输，**网络上的任何人**（公共 WiFi、ISP、攻击者）都可以读取它（窃取密码、会话 cookie 和个人数据），在传输中修改它，或冒充服务器（中间人攻击）— HTTPS 防止的严重安全和隐私风险。

这使得 HTTPS 对任何处理敏感数据的网站（登录、个人信息、支付）都是必不可少的，实际上对所有网站都是必需的。

理解 **它如何工作**（来自认证机构的 TLS 证书证明身份，TLS 握手建立加密）和 **现代做法**（通过 Let's Encrypt 提供的免费证书消除了不使用 HTTPS 的任何借口，HTTPS 现在是标准，浏览器将 HTTP 标记为