为什么许多大学的官网没有上全站HTTPS？

很多人只知道一个https，可以提升网站安全性。

但是在专业安全工程师眼里，如果把亟待解决的安全问题做个排序的话，https真的排不在前面。

甚至盲目的上https，非凡不会增加安全性，还会造成灾难性安全隐患。

曾中途接手过一客户，是某地一个很关键的基础设施。我们发现，自从上了https，waf也不拦截了，ids也不告警了。做网络的都知道，这是没有在设备上配置私钥证书，导致安全设备无法解密流量，从而失能。

就这样，大几十万采购的安全设备，当成电暖气在机房里空跑了好几年，中间被日了多少次，谁知道呢

————————————————

更新：

讲下为何https在所有安全问题中排不上前列。https主要防中间人，而黑客如果实施中间人需要前置条件，攻击难度较大，至少要拿下机房网关或者同c段服务器开网卡混杂，才有概率获得流量。

现实场景中黑客实施中间人攻击的比较少（大多数黑客以拿你服务器root为目标），主要是运营商和家用路由器的流量劫持较多，所以流量劫持一般属于客户端环境问题，server负责人不太关心。

不是说https不好，而是it运营牵一发而动全身。打算迁移https之前，务必做好充分的准备。就像abs防抱死是一个安全的设计，为了abs你买了台车，上路后才想起来你没有驾照，刹车离合分不清，哪个危害大？