HTTPS 是解决大量安全问题的最简单方法：

• 任何形式的中间人攻击在 HTTPS 连接上都是完全不切实际的（您需要破坏 SSL 或侵入证书颁发机构）。这包括在用户使用公共 wifi 时保护他们。
• 如果任何页面不安全，并且用户单击“登录”链接（可能是 HTTPS），攻击者可以将其替换为指向窃取密码的不安全版本的链接。唯一安全的方法是通过 HTTPS 为整个站点提供服务，或者确保用户注意 URL 栏。这两个选项中只有一个是可能的。
• 由于您的所有页面都是安全的，因此您无需考虑哪些页面是安全的，哪些不安全（用户点击登录 -> 重定向到 HTTPS 版本 -> 用户登录 -> 重定向回 HTTP -> 用户转到他们的个人资料 -> 重定向到 HTTPS ...）。
• 如果 HTTPS 页面包含不安全的内容（样式、脚本、图像等），现代浏览器会发出混合内容警告。大多数浏览器将此类页面视为根本不安全（显示可怕的红色 URL 框）。确保您永远不会遇到此问题的最简单方法是通过 HTTPS 提供所有内容。
• 如果您仅使用 HTTPS，则可以启用HTTP 严格传输安全以进一步减少 MITM 攻击的脆弱性（一旦用户访问过您的站点一次，他们的浏览器将始终选择 HTTPS 版本，即使定向到http://URL 也是如此）。

老实说，我不知道为什么有人不启用 HTTPS。这完全是微不足道的，它可以是免费的。

“攻击”是坏消息。使用 HTTP 站点，恶意的攻击者可以更改传输中的数据，使他的名字或徽标出现在预期页面的位置。对于仅托管公共信息的站点（例如维基百科），这在任何方面都不是关键，但它看起来仍然很糟糕。使用 HTTPS，有某种程度的“可见保护”：攻击者将无法将他的签名放入正版站点；相反，他将不得不安装带有假证书的替代版本，此时浏览器将显示警告。这一切都是为了让这种攻击在广大公众眼中变得“显而易见”。

另一个不太合理但可能更常见的原因是许多管理者心中的以下“逻辑”：“安全性很好，它可以防止坏人、邪恶和恐怖分子。HTTPS 是安全的，所以让我们去撒点 HTTPS我们可以在任何地方。 ” 这在很多方面都有缺陷，但这并不妨碍人们这样想。

当然，还有时尚。如果 Google 到处都使用 HTTPS，那么如果不这样做，那将在营销上自杀，并且可能是坏品味。

除了隐私之外，值得注意的是，目前SPDY需要 HTTPS 来协商支持。

虽然在保持与 HTTP/1.1 的向后兼容性的同时还有很多其他方法可以实现这一点，但我只能假设它给很多代理带来了问题。看起来HTTP/2.0可能会走同样的路。

HTTPS 破坏了 HTTP 的分布式缓存模型，这对性能产生了巨大影响——所以对于我们大多数人来说，这意味着依赖第三方 CDN——这反而违背了最初拥有安全点对点通信的目的.

（我唯一一次植根于一个盒子是在大约 10 年前通过 openSSL 中的一个漏洞 - 所以也许我对 SSL 有一个相当扭曲的观点；）

不要误解我的意思——我认为没有比 SSL/TLS 更好的协议级安全解决方案，但它本身还远远不够；还有很多差距需要弥补（cookies、XSS、DNS）

我同意以上所有观点，但应该补充一点，除了谷歌之外，迁移到 https 几乎是对 Firefox 的 Firesheep 插件的回应。这使您可以轻松劫持与您在同一网络上的用户会话，从他们那里写电子邮件，在 Facebook 和 Twitter 上发帖等。现在启用 https 是无法做到的。

我提到谷歌是因为他们的 gmail 登录不受此攻击。他们已转向 https 以“保护用户隐私”。就我个人而言，我对此不是 100% 确定的。