为什么有的网站至今还不升级为 https？

估计站内很多 http 链接没法全部替换吧，应该还有十多年前的老页面。

应该是没必要吧，又不传输密码。传密码的页面我看都是用 https ，有统一通行证，最后再重定向到 http 页面。

http 升级 https 的目的只是防中间人攻击，并不是所有网站都需要防中间人攻击，比如你这个例子就属于没人敢攻击的情况。所以为什么要必须升级。

@BeijingBaby #1 这个应该不成问题

我猜的理由：

1.https 增加了一个故障点，例如 https 证书过期/被浏览器拉黑之类的，可能这些机构无法接受三个月更新一次证书的运维要求。

2. 要支持 XP/IE6 系统访问，现在无法签发 SHA1 证书

3. 懒得给资源链全升级 https

4. 能跑就不动，反正我有理由相信现在有些银行只给网银登录页上 https 就是这个原因

@tool2dx 不传密码也要 https ，不然容易被人在中间加屎——比如 ISP 插个小广告。绝大部分内容网站都是需要 https 的。不需要 https ，或者 https 起负作用的，是临时网站、公益性网站，还有开发人员用得内网、IP 网站，等等。

@nothingistrue ISP 的牛皮藓插入广告，应该和诺基亚手机一样，已经成为历史了。

我个人网站也一直坚持用 http 协议，当然也有很多不方便的地方。比如 chrome 开启 br 压缩，就必须用 https ，还有一大堆别的限制。

开了 https 也没啥明显副作用，不开可能只有网站开发者才知道了。

可能是新华社的网站，没人敢捣乱？

说明楼主没明白/忘记了 https 的意义是什么

@tool2dx #7 零本万利的东西，它就不可能成为历史，网站流行度一高它就会让你知道它的存在。

https 最大的负作用就是运维麻烦，即使是 Let's Encrypt 提供了全自动化的脚本，它还是不如不搞简单。另外互联网档案馆这种公益性网站，对 https 多出来的加密处理，是性能敏感的。

@PiCpo 现在很少有不是 https 的站点了，就连个人博客都是 https ，那么请问有意义吗？

个人觉得商业证书严重阻碍了 https 的发展，早在 IE 时代就应当广泛自动化部署 https

并且绝大部分 https 不应当默认由开发者、运维来维护，应当默认由 Web 服务容器自动化实现，并且作为标准，比如 nginx 、iis 、tomcat ，服务器收到一个域名（ ip ）的 https 请求，就默认自动依据标准自动获取到此域名（ ip ）的证书。当然是可以通过配置来决定是否是自动的还是手动的、可以配置证书颁发机构（不管是免费的还是付费的）

应该只是懒而已

https 是西方的那一套，容易被卡脖子 /doge

@tool2dx 我这方面没有很懂 但这不是就只是单纯的从丢密码变成丢通行证了吗 中间人还是可以拿着这个信息登入用户帐号不是吗

国企加 ssl 需要走采购投标

之前我搞了一个网站，如果用 https 就得在 cdn 改全站的，不然就不能隐藏 ip ，鉴于一大堆用户软件对接了 api ，改 https 它们软件支持不了，只能 http 一路走到黑🤧

有些网站根本没有登录功能，而且是开放的网站，懒得升级

大概十年前 访问 http 的适合，会被运营商塞进来一个悬浮球，点开就是送流量啥的。明显就是插入了一段 js 。不知道现在还会不会干这么恶心的事

有些网站代码很久都没有更新了，http -> https 又不只是涉及到加个证书那么容易。比如外部依赖，我之前就看到一个网站学术网站， 应该是运维直接在 nginx 加了 https ，结果页面打开白屏。打开 F12 才发现里面，他们依赖了 一个 http 地址的 jQuery 。chrome 的 https 的策略直接把 http 地址给拦截了，页面就直接白屏。