十年了,网络安全这道题我们还是没及格

十年了,网络安全这道题我们还是没及格

七月 04, 2026 web-security ssl-certificates https security-headers dns-security

Web安全的十年:从"为什么要装HTTPS"到"不装才奇怪"

2016年的互联网听起来是不是有点像上个世纪的事了?那时候 Instagram 刚推出 Stories 功能,《精灵宝可梦GO》火遍全球,而给你的网站装上 HTTPS?嗯,你大概会被当成被害妄想症患者——花了冤枉钱的那种。

十年过去,风水轮流转。现在的问题已经不是"要不要用HTTPS",而是"为什么不用"。但问题在于——进步这种东西,永远不会说"够了够了,差不多就行"。

数据会说话

翻一翻过去十年全球访问量最高的100万个网站,数字确实挺让人振奋的:

  • HTTPS普及率:2015年大概只有6%的顶尖网站在用,现在超过65%
  • HSTS headers:从11,000个网站暴增到252,000个,22倍的增长
  • 内容安全策略(CSP):从1,365个飙升到170,000个,125倍!

这些可不是什么面子工程。2017年Chrome开始把非HTTPS网站标记成"不安全",整个互联网炸了锅。但这种压力确实管用。现在回头看,如果你的网站还没装HTTPS,你反而成了少数派——尤其是在流量大、排名高的网站里,没人会跟自己的名声过不去。

好消息:基础安全真的成"基础"了

十年数据里最让人欣慰的是:基线标准变了。

十年前,X-Content-Type-Options、 X-Frame-Options 这些安全 headers,在顶尖网站里的采用率还不到5%。现在呢?30%到35%左右。

这些数字重要在哪?因为这些不是那种"炫酷新功能"。没人在博客里专门写文章吹X-Frame-Options(好吧,也许有人会,但真的很少)。它们是Web安全的"水管工"——不性感,但管用。能防住点击劫持、MIME类型嗅探攻击这些糟心事。能成为行业标配,说明整个圈子终于把安全当成基础设施,而不是"锦上添花"。

CSP特别值得一说。从1,365个网站做到170,000+,这感觉就像看着一家车库创业公司变成了行业标准。CSP真的不好配置——你得搞清楚网站所有的内容来源、第三方脚本、内联代码模式,一堆乱七八糟的东西。这么多团队愿意花时间去搞对,说明行业在"纵深防御"这件事上,真的成熟了。

坏消息:我们好像卡住了

好,说到这里,得来点不那么乐观的了。

如果你看这几年HTTPS的增长曲线,会发现它明显变平了。"容易搞定"的都已经搞定了——能轻松切换的网站、用Let's Encrypt的博客、知道被标记成"不安全"会影响口碑的企业。

剩下的都是硬骨头。legacy系统要动大手术才能升级。内部工具没人想碰。某些组织的网站,安全?那是别人的事吧。这不是批评——任何普及曲线最后10%都是最难啃的,这是规律。

更让人担心的是某些保护措施"起起落落"。EV证书,当年可是被吹成信任度的金标准——还记得浏览器地址栏那个绿条吗?现在基本凉了。浏览器厂商把EV证书的特殊UI砍掉了,没有了这种"高人一等"的感觉,谁还愿意多花钱?从巅峰时期的15,600家掉到2026年的4,000出头。这是个很有意思的案例——用户体验的改变,直接砸了安全经济的饭碗。

新玩家:2026年及以后的战场

最近爬虫数据里最有趣的,不是那些"老标准"——而是接下来会发生什么。

后量子密码学开始冒头了。虽然还没普及,但我们已经能看到第一批试探性的实现。整个行业在为量子计算机可能破解现有加密的那一天做准备。安全领域最擅长的事就是这样:威胁还没变成现实,就已经布局了。

跨域隔离、ECH(加密客户端问候)这些隐私保护技术,同样处于早期采用阶段。这些技术是在给一个更抗监控、抗操纵的互联网打基础。

Cookie安全最近又被重视起来了。第三方Cookie终于要在各浏览器里被废弃了(拖了这么多年),第一方Cookie的管理反而变得前所未有的重要。五年前,很多开发者根本不会把Secure、SameSite这些Cookie属性当回事。现在?这些已经是基本操作了。

对你项目的影响

如果你现在要上线一个新网站或应用,十年数据告诉我们的很清楚:把安全当基础设施,别当事后补救。HTTPS不是可选项。安全headers不是可选项。工具成熟了,成本降低了,跳过这些基础的后果却越来越严重。

但别就此打住。Web安全的前沿已经往前挪了:

  • 后量子准备:开始想想你的基础设施将来怎么升级
  • Cookie迁移:在第三方限制真正落地之前,审查一下你的Cookie用法
  • 隐私替代方案:ECH这些技术迟早会出现在你用的浏览器里

2026年的互联网比2016年安全了不止一个档次。但安全从来不是目的地——它是防御者和攻击者之间、标准组织和浏览器厂商之间、开发者与用户之间的一场持续对话。我们还在进行这场对话,还在持续测量、持续改进?这才是过去十年真正的收获。

下个十年,继续让互联网更安全——一次headers、一次certificate、一次服务器配置地来。


想把安全基础打好?NameOcean提供免费SSL证书、自动化DNS管理,还有符合现代安全标准的托管环境。毕竟, securing网站最好的时机是十年前,第二好的时机就是现在。

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL HU IT FR ES DE DA EN