HTTP，一种使用了 20 多年古老协议。现在网页技术有了很大的进步和发展，http也开始逐步被https代替，在http里，非常容易遭受网络攻击，尤其是流量劫持给广大网友带来了严重损失，那么，把http换成https会安全吗，还能被流量劫持吗？

Https能避免流量劫持吗？

能！但前提是必须用受信任的SSL证书。

不同于简单的Http代理，HTTPS服务需要权威CA机构颁发的SSL证书才算有效。自签证书浏览器不认，而且会给予严重的警告提示。而遇到“此网站安全证书存在问题”的警告时，大多用户不明白是什么情况，就点了继续，导致允许了黑客的伪证书，HTTPS流量因此遭到劫持。

如果重要的账户网站遇到这种情况，无论如何都不该点击继续，否则大门钥匙或许就落入黑客之手。

这里所说的权威CA机构是指已经通过WebTrust国际认证，根证书由微软预置，受微软等各类操作系统、主流移动设备和浏览器信任的CA机构；在中国还要附加一项，就是要拿到工信部许可的CA牌照；这样的CA机构，才有权利签发各类数字证书。

自签证书是指不受信任的任意机构或个人，自己随意签发的证书，容易被黑客伪造替换。

全站Https的重要性

情况一：从http页面跳转访问https页面

事实上，在 PC 端上网很少有直接进入 HTTPS 网站的。例如支付宝网站，大多是从淘宝跳转过来，而淘宝使用的仍是不安全的 HTTP 协议。如果在淘宝网的页面里注入 XSS，屏蔽跳转到 HTTPS 的页面访问，用 HTTP 取而代之，那么用户也就永远无法进入安全站点了。

尽管地址栏里没有出现 HTTPS 的字样，但域名看起来也是正确的，大多用户都会认为不是钓鱼网站，因此也就忽视了。因此，只要入口页是不安全的，那么之后的页面再安全也无济于事。

情况二：http页面重定向到https页面

有一些用户通过输网址访问的，他们输入了 www.alipaly.com 就敲回车进入了。然而，浏览器并不知道这是一个 HTTPS 的站点，于是使用默认的 HTTP 去访问。不过这个 HTTP 版的支付宝的确也存在，其唯一功能就是重定向到自己 HTTPS 站点上。劫持流量的中间人一旦发现有重定向到 HTTPS 站点的，于是拦下重定向的命令，自己去获取重定向后的站点内容，然后再回复给用户。于是，用户始终都是在 HTTP 站点上访问，自然就可以无限劫持了。

国外各大知名网站（PayPal,Twitter,Facebook,Gmail,Hotmail等）都通过Always on SSL（全站https）技术措施来保证用户机密信息和交易安全，防止会话攻击和中间人攻击。