没有 SSL 会被攻击吗

没有 SSL 会被攻击吗

没有 SSL/TLS（即未启用 HTTPS）本身不是一种“攻击”，但它会显著扩大攻击面，使多种网络层和应用层攻击成为可能且成本极低。

HTTP 明文传输意味着所有通信内容（包括 Cookie、表单提交、API 请求头/体、重定向 URL）均可被中间人（MITM）直接窃听、篡改或注入。现代浏览器已将 HTTP 标记为“不安全”（Not Secure），Chrome、Firefox 等主流浏览器在地址栏明确显示警告标识；部分功能（如地理位置、Web Push、Service Worker、自动填充密码）在非 HTTPS 下已被禁用（参见 W3C Secure Contexts 规范）。

典型可利用场景包括：公共 Wi-Fi 下的会话劫持（如窃取登录态）、DNS 污染后强制降级至 HTTP、ISP 或路由器固件注入广告脚本、恶意代理篡改响应内容（如替换 JS 资源实施挖矿）。2016 年的 SSL/TLS 工具 分析显示，全球约 37% 的 HTTP 页面存在可被自动化识别的敏感字段（如 password=、token=），极易被被动嗅探捕获。

需要注意的情况

• 即使网站无登录功能，HTTP 下的 Referer 头可能泄露用户访问路径、搜索关键词或内部系统参数，构成信息泄露风险
• 搜索引擎（如百度、Google）对 HTTPS 网站有索引优先级加权，长期使用 HTTP 可能影响 SEO 排名
• 国内监管要求（如《网络安全法》《个人信息保护法》）明确要求对用户身份、联系方式、交易记录等个人信息传输采取加密措施，HTTP 明文传输可能构成合规风险
• 免费ssl证书 可零成本解决基础加密需求，Let’s Encrypt 等机构已支持自动化部署与续期，运维复杂度接近于零