为什么现在还有学校的网站不弄 HTTPS？

因为领导不懂。

学校网站？用 DV ？

还是上古的 php5.2 为啥要升级 为啥要给自己找麻烦呢 工资不是照样发么

不需要

你说对了，真的是太麻烦，学校还有很多其他系统，得用付费的泛域名证书，免费的多太累维护起来

曾经有个学校内的项目，挂在学校里面。学校不知道从哪里买的全校服务安全扫描服务，扫描了网站。给出的安全报告是，HTTPS 网站支持的 SSL/TLS 版本有安全漏洞，要求修复。最后修复方案是干掉 HTTPS 。。。

对于一个已经稳定运行的系统，维护者需要听到的是 需根解损 。

需要性
为什么要对现有系统做修改？
目前的系统是否满足使用？
现有系统是否已经引发了某些问题？

根属性
这些问题是否是未修改的点引发的？

解决力
进行修改是否能解决以上问题？

损益比
进行修改需要投入哪些成本？
进行修改是否会引入其它风险？
为了这些问题，是否值得投入这些成本？

央视网还是 http，flash

这个我不关心，我希望 flash 赶紧死。
有的时候 chrome 或者 edge 的自带的 flash 检测非国际直接停用

@ccbikai www.gov.cn 已经有 HTTPS 了，只是没有强制跳转。
之前有个骚操作，HTTPS 跳转 HTTP 。

之前做过这块的业务，他们不是很关心 HTTP 还是 HTTPS，但是做等保做护网多了 HTTPS 就意味着多了漏洞的可能性，反正现在目前来说没有强制要求必须要用 HTTPS，只要不在 HTTP 下干出敏感信息不加密或者弱加密的蠢事，反而不太能找茬

我知道几个学校的网站都是学生维护，曾经出现某学生毕业后，倒退几十年。

第一次听说“多了 HTTPS 就意味着多了漏洞的可能性”，是我孤陋寡闻了吗，难道 HTTPS 不能增加安全性反而是与安全背道而驰？有没有人能详细解释一下原因

能完美兼容 Chrome 和干掉 flash 就知足了

多做多错

工程学经验：如果某个东西没有坏，就不要动它。

我看了一下，清华大学是有 https 的，而南京师范大学没有。这说明 https 概率和学校的优秀程度呈现正相关。这也符合我们的基本认知，基本可以解决这个问题 [为什么有的大学还没有 https] ,因为 [大学垃圾] 。

有些氛围，你多做一点上面没吩咐的，万一出了事，哪怕和你做的事八竿子打不着，你很可能成为背锅侠。
像狗一样，吩咐一点做一点，最安全。

免费的通配符证书很爽

当年在学校网络中心的时候，搞了一台服务器搭反向代理，给 IP 不富裕的学校带来了温暖。
同时，还「自作主张」地上了 Let's Encrypt 的证书，虽然后来有个别网站在某些老师的 Windows XP 下出现了问题，马上撤掉 HTTPS……
现在就只剩下几个比较现代化的站点（比如统一授权）开着 HTTPS 了。

@ruixue 上了 HTTPS 就要检查 HTTPS 相关的检查项，不上则不查，有一些领导出于多一查不如少一查，基本都是不做的

一是学校大部分都是老师牵头，学生开发
二是大部分都是内网，隔三岔五就崩溃，使用 HTTPS 意义也不是很大

领导根本不知道 https 是啥

这时候作为技术人员 多一事不如少一事

@Rxianbei 不怕南京师范大学提刀来战么 23333

@Rxianbei #19 个例证明力有限。不过我有个想法，有钱的大学有更多资源能投入到方方面面，包括网络，而有钱的大学一般也就是优秀的大学

升级有啥好处没？

@Keyes 随便找的啦，因为师大一般都是当地中等层次的大学。

官必要，更必要，工工不多，校不重，校，多一事不如少一事，定重於一切

@opengps 免费的（如 letsencrypt ）也有泛域名证书啊。还可以通过脚本（如 acme.sh ）自动续期。

@abc612008 这玩意儿在部分早期系统上不认。
多的不说，各位难道没有用过自己学校只支持 IE 的教务系统吗？ JScript 写的那种

除了嫌麻烦，https 还要多占用服务器 CPU 和内存资源，增加访问压力，我看了下湖北武大，华科，武理工大都是强制跳转 https，其它的学校好像有的没强制跳转 https 或者没启用 https

@shonnliberty 今天整理密码时也发现了，鄙校除了邮箱，其他服务都没有自动 https，图书馆甚至没有 https

又不是不能用

Photoshop 都 2020 了，照相馆阿姨还用的是 CS6 版本，P 图还贼 6

https 有什么用？

因为领导不 care 也不懂，既不能增加学校的经费，原来的又不是不能用，改什么改

我们学校还是自签证书呢...
搞的莫名其妙

有免费的泛域名 ssl 证书，是一个叫什么 let's ....有效期 3 个月好像，用脚本可以自动续签。

ssl 部署大概只要 web server 层做修改吧，然后强制跳转至 http 。然后将页面引用 http 资源改成 https，嫌麻烦如果用的是 nginx 可以替换。

但也并不是都可以用如 nginx 的内容替换去将 http 改成 https，有些可能必须要改源码，管理员没啥事应该不会有闲情去改吧...

如果是我，手头几十个站点，没有利益让我改可能真懒得改

@NowTime 脚本自动签这种事情极其不靠谱，你的明白万一因为 https 过期带来的 后果是很严重的，app 小程序业务直接停摆，那就是事故了

学校网站加 https 相比之前有哪些提升吗？
学校重要通知和教学事物走内部 OA，是内网访问。
加 https 增加服务器运算量。
各类劫持也不是 https 就能完全解决的。
我觉得还是需求不够迫切。

学校还有 WINXP 呢，不能随便就上 https 了

@YadongZhang 虚假的 PS 玩家真实的 PS 带师

@loading 哈哈，是的，我当年就是维护学校网站的人，我毕业后交给另外一个学弟了，我维护的时候还修复了好多漏洞，改了上古页面 ui

一堆垃圾健康码都没 HTTPS，明文发送身份证号手机号

其实对于学校的破网站，也不见得用 https 有啥作用。天天就是发一堆无用的通告，上了 https 还容易造成兼容问题，还不如不搞

因为目前不需要，等校长的小姨子的二舅的儿子来的时候再升级吧

又不是不能用 (滑稽)

没有出现大问题为什么要改(
咱学校甚至于支付系统和统一身份验证系统都没有 https, 腾讯企业邮也没有上传证书

@TypeError 身份信息这么重要的事情不 HTTPS 么？

@chotow 记得配置 ecc + rsa 双证书，可以解决 XP 兼容性问题。

一定程度上取决于学校的网络中心给不给力： https://mp.weixin.qq.com/s/RpOHlRvs0Lg-MHCJ22Rguw

@abc612008 #31 你举错例子了。Let's Encrypt 在国内被 DNS 污染，使用它证书的网站打开要 4 秒+，我是通过在服务器上修改 hosts 文件解决这个问题的

学校就算了，，，管理这些东西的人可能还不了解 https，另外，喝茶看报纸不香么？搞这玩意干嘛，还得掉头发。