https网站的隐形杀手—https阻断,兵不血刃就能放倒一个网站
https安全加密协议目前已经成为站长圈中的共识,现在不论是大网站还是小博客基本都开始使用https协议。在欧美几乎全部网站都是https的,亚太地区这一比例开始有所增加。而在我国https协议的使用刚刚开始有大面积起色,部分大的站点和大部分个人网站都已升级为https站点,毕竟现在申请个证书很容易,免费证书一大把,要是买个证书的钱都赶上再购买一台服务器了那谁还上https,还不如用这个钱再加台服务器呢。再加上谷歌等浏览器对http网站慢慢的被标记成不安全网站,因为这个很多站长都选择直接将站点改成https。https的优点多,点对点加密的通讯保证了资讯流通的安全,防止他人劫持。可是您知道吗,https的网站有一个无形的杀手,不费吹灰之力兵不血刃就能杀掉一个网站,这就是我们今天要讲的https阻断。为什么我们的网站一直不上https,就跟这个有关。
所谓的https阻断就是将网站的443端口封闭或者搞乱,一会能连一会就不能连,从而达到使得访问者无法正常访问https内容,一直出现加密层无法解密连接真实站点而最终出现的连接超时或者无法访问或者连接重置的现象,一般能够在这上面做手脚的都是大型IDC以及ISP运营商。这就是我们要说的https的隐形杀手,在你不知不觉中就可以杀死一个网站。
那么这个阻断的危害有多大呢?可以这么说比我们的大防火墙还要可怕,无需使用防火墙只需定点对你的443端口封闭就能放倒一个网站。消灭的成本非常的低,只需要在443端口上面做个手脚或者干脆封掉443端口就行了,然后你的网站就消失了。当然国内备案的站点不在这一范围内,国内服务器站点可以照常使用https,毕竟上面是可以进行监控的。而不幸的是依然有很多国外服务器的站长仍没有意识到这一问题的严重性,依然给自己的网站上https,最后的结果可想而知有的人就不幸中招了,网站国内打不开没有国内访客,最后不得不关站。
那么都是谁在做这件事情,做这件事究竟是为了什么呢?答案就是咱们国内的那几个ISP运营商。由于https协议与http最大的不同之处在于一个加密一个公开访问,https看似加密其实国内站点还是可以看到真实的通信内容,而国外服务器的加密内容由于上面无法知晓你们的真实通信内容是什么,因此干脆直接封了一了百了。国内服务器可以管理可以监控加密的通信协议他们是不管的,他们只对某些国外的服务器进行上述操作。而且这个操作又是看人下菜单的,比如国外的那些能访问的大网站的https就没有事,反倒是一些小网站就是被重点关注的对象。这些小网站大多集中在几个热门地区的数据中心,因此对热门地区数据中心的443端口封锁就成了非常简单就可以封掉很多网站的最好方法了。
运营商对某些网站的阻断也是不同的,可以说每家的阻断对象都不一样,有的这个网站能访问,有的就不能访问。从今年年初开始就有很多个人博客站点在国内无法访问,就会出现连接超时或者已重置的现象,刚开始以为是浏览器的问题,以前换个浏览器就能访问,但是现在更多的是换个浏览器也不能访问。后来我们发现了几个奇怪的现象,就是这些无法访问的网站全部都有一个特点那就是全部是https的网站,有的站点用http就能正常访问,跟什么都没发生一样,毕竟http可以访问说明了网站并没有被墙。并且是有的可以访问有的却不可以,而且有的网站甚至出现一段时间一般是半个小时内能访问而过一段时间后就无法访问了,过会又好了一会又不好了,这样周而复始的循环。不过诡异的是用了梯子后什么事情都没有发生,大部分都能上了。不过有的甚至是通过梯子也无法访问,这就奇怪了用了梯子也上不去。而且据网友反映阻断多集中在热门地区的VPS服务器上,比如某云的香港新加坡以及某些国外的热门VPS的热门地区,他们往往都有一个问题,http全都能正常访问,就是https国内访问不了,而使用了梯子后就可以打开了。这就说明正是国内的那些ISP在背后做了手脚,阻断了443端口,才会出现https无法访问而http却完全正常这样诡异的情况。
那么这么做的原因是什么呢?我刚才讲过就是因为他们无从知晓你的访问内容所以对热门地区进行这种措施啊。国外大的网站有问题立马被和谐,但是小站点不好管理干脆封了吧。你肯定会说为啥不封http反倒要封https,这是因为https的通信别人无法知道你在做什么事情,因此才做出这种防御措施。反倒是http网站完全公开把所有的通信内容摆在了明面上,所以既然你都明牌了我干嘛还去封你,因此http的网站嘛事没有。以前很少有https的站点,可是又因为最近大部分网站都使用https,所以才会大量出现这种情况。
在这里说一下国内备案的网站https没事,运营商不会阻断国内的443端口。阻断的对象是国外的443端口,因此最好的解决办法就是国外做站不上https,这样永远没人阻断你。我最讨厌某些人耀武扬威的炫耀“现在什么网站不用https,没有https还叫网站,不用https就是垃圾”这样的话,你是国内站点大可以秀你的优越感,你是没经历过等你经历过一次网站被封看你还敢不敢说这样的话。不上https终究不是办法,可是正因为国内网络环境的现状使得我们不得不这么做来规避风险。有人又说谷歌浏览器开始封杀http网站,拜托我早就讲过了国内不是国外,谷歌用的国外的标准,对于国内来说是不现实的。尤其是在这种大环境下,肯定是不现实的,我们也没有必要去讨好他们吧。那么如果你非要执意就是要上https,我给您两个解决办法。
一个是将服务器放在冷门的地区冷门的服务商的冷门机房,这样肯定没人去阻断你。现在主要是对热门地区热门服务商的热门机房进行阻断。
再就是一定要保留http访问,切不可全站301重定向https。原因很简单在https的访问上面保留http的访问,这样就算是https被封,http的内容照常可以看,你的网站在国内仍然可以继续的访问。而如果你全站只用https访问,没有http的访问,那么你只能接受一个事实就是你的网站国内无法访问,形同于被封。
只有这两种办法来规避风险,否则就得接受国内被封的事实。不过用梯子出去还是可以看的,只是大部分人不会用梯子,你网站的重要访客群没有了你的网站还能做下去吗?作为一名普普通通的访客,当我访问这样的网站明知道可以用梯子打开,如果我用正常的方式遇到这种情况,打不开网站那我肯定就关掉你的网站了,将你的网站列入“黑名单”,既然你的网站打不开那么下次我就不会再来了。我都知道的情况,你身为站长难道就不知道?白白的损失掉难得的访客,请问你的访客重要还是为了攀比在热门服务器上https重要呢?这种情况上了https但是没人来又有什么用呢?所以我奉劝许多在使用国外VPS的站长认清现实,国内不是国外,注意这件事情的危害,因为这样的事情已经不是一件两件了,而是大部分。
这就是我们为什么不上https的原因,因为我知道如果我做了https那么你们就再也看不到我的网站了,我的网站肯定就被封了。那么既然我明知道这样做的后果我为什么还要去做,非得随波逐流吗?所以说这就是现实,不得不面对的现实,什么时候解决了这个问题再来谈https,否则我们是不会上https的。那些说这种混账话的别拿那些所谓正义的言论,少拿这些打着正义幌子的旗号来吓唬我们,我们不怕。我又没有秘密尽管看,你以为人人都跟你一样非得用加密,用不用加密我不在乎。I don’t care.
