国内有哪些网站是你认为应该已经部署 https 了但是**居然**没有的

狗东

www.bilibili.com

嗯，我就是跟逸睿国度过不去。你逸都开始用 HTML5 、 Vue.js 等新技术了，为何再不跟点 HTTPS 大潮？


@coolrc https://www.jd.com/

@coolrc 同意. 这种购物网站虽然有 https 但是不自动跳转依然不合理

各大银行的首页？

京东依然不是全站 https ，手机用流量 app 必被劫持广告，什么流量加油站之类的

网易云音乐
某次心血来潮想引个播放链接，赫然发现居然不支持 https ，自己代理小麻烦，只好作罢

@FlowMEMO 狗东 https 只是防运营商劫持的，实际的购物页面根本没加密，先调到 https 的 301 页面，然后再跳到 http 的首页，用户还是得手动加 https 前缀，不是很懂狗东，为了节省服务器开支？

“开 HTTPS ，你就是要我放弃 IE6 用户咯？”

@xfspace
本该如此，而且臭名昭著的淘宝已经做到了
何况可以单独为 IE6 的 UA 设定例外

@xfspace

很明显不是这个原因， 针对 IE6 设置个 301 跳转不就行了。

我司也不是。。。。

@pandachow 能说说原因吗？

B 站视频用了 https

我一直觉得国内没流行 SSL 的原因是 IP 资源匮乏价格太过于昂贵，特别是这些大网站需要用 CDN ，价格更是离谱。

电信的 189.cn ，简直开玩笑。

@alect 我觉得问题在于国内还有一大波人在用 XP 等不支持 SNI 的系统，不然就没有兼容性问题了， SNI 可以共享 IP

@terry0314 说明正在测试全站 https 了，不久的将来就会自动跳转。当年百度和淘宝也是一模一样的现象。

虽然楼主已经说了，但我还是必须要说 mail.163.com ， https 跳转到 http ，强制开 https 居然登录页都刷不出， F12 看了下，登录的 iframe 居然是 http 的，明明支持 https

大部分银行，我认为应该全站 ssl

b 站 html5 播放器已经使用 https

https://www.123xx.gov.cn/
然后进去选地区的时候， https 没了……

@coolrc 装一个 HTTPS everywhere 就好了

微博和 QQ 空间两个，出于现实考虑，不推 https 还可以理解，但 163 邮箱不支持就完全不能理解了。

各大银行应该全站 SSL+HSTS （然而并没有）
几个运营商的网上营业厅也应该 SSL
狗东虽然支持 https ，然而没有 HSTS ，而且部分页面默认也是 HTTP 。看看人家淘宝、亚马逊全站 HTTPS 了都。

一句话，涉及到个人隐私的部分应该 HTTPS 而且是强制。

smzdm.com
领个优惠券还要求我绑定芝麻信用进行实名认证，看到输入框敏感地抬头一看，地址栏大写的 HTTP ，祝此站早日结束生命周期
注册必须使用手机验证的网站能放弃的放弃
之前想在小米商城买东西，用以前几乎没用过的账号登录，提示我验证，注册时用的以前的手机号码已被回收，虽然可以联系现使用者代收但想想还是算了，选择申诉找回，很好，一步一步经历了各种历史信息填写到了最后，网页提示说，请上传手持身份证照片（似乎是要求手持）并等待人工审核，立马关闭网站心里怒骂小米一百次请小米原地花式螺旋爆炸 65536 次

@xbb7766 登录页是有的,搞不懂银行能搞出安全控件这种高大上的东西却不愿意上全站 HTTPS

都上 https 你让网监怎么办

@juan8510 网监可以要求提交私钥。。。。

coolapk.com
下载.apk 文件经常被劫持

music.163.com
没有 HTTPS 不方便盗链(光速逃

各大不支持免费上 HTTPS 的 CDN
上 HTTPS 的价格在各大 CDN 那里完全呈现三个极端：要么完全不支持，要么完全免费(哪怕流量费贵一点儿也好)，还有一种就是上 HTTPS 贵的要命。

t.cn dwz.cn 等短网址服务
刷个微博，点个链接，强制走 t.cn 短网址跳转，这时候已经有一种被强奸的感觉了，他竟然还不支持 HTTPS …

还有好多…

csdn

税局网站

狗东依旧不是全站 HTTPS ，当当网，贝贝网很多电商网站都没用全站启用 HTTPS 。还好我们公司明智，很早就全站接入又拍的 HTTPS 了，不用为迁移之类的费心了。

东航

东航连注册页面都是纯 HTTP 的 ( _`)

各大银行应该都不懂什么叫 HTTPS 吧，你让他们做个兼容国内使用率超一半的 webkit 浏览器的网站他们都做不出来，你还想他们做个支持 HTTPS 的，呵呵

@FlowMEMO 你需要 https-everywhere

10086 支持 https 惹，不过也不是全部业务支持。

QQ 的 oauth.....

@juan8510 奉旨中间人攻击

甚至直接要求秘钥备案？

多了去了

各大银行的软件下载地址。基本上就算你访问的是 https ，下载链接还是 http 的。
当然有没有添加其他校验方法就不知道了。

全站 HTTPS 加密的的改造是非常麻烦，成本也会比较高。

@Eleutherios 以前用过，没部署 https 的网站的还是没用. 而且装了之后我微博都等不上去

@linzianplay 真够可以的...


@jj123456 所以我想说的是那些大网站. 比较一下，同等规模的国外大站基本都部署 https 了

微博这种我猜是有关部门不让 SSL 吧，毕竟要监控舆情

@FlowMEMO 京东支持自动跳转 https 了，昨天还不行，是不是看到了你的这条回复？

@FlowMEMO 自从 Let's Encrypt 出来之后，国外的网站基本上都上了 HTTPS ， New York Times, yelp ， Netflix ， 还专门做过全站 HTTPS 的文章分享，国内，如果我没有记错，携程信用卡支付都是走的 HTTP 协议。

@phpcyy 哈哈哈不清楚。不过很多子域名还是没自动跳转，比如 http://a.jd.com/

1.狗东
2.知乎有 SSL 但有 Openssl Oracle Padding 漏洞,Qualys SSL Labs 评级为 F
3.jie.360.cn 评级也是 F

@alect 可以 SNI 啊

@jj123456 用又拍云啊，提供域名和证书就可以全站 HTTPS 了

@maye526 在 cdn 上面放了密钥对，如果密钥对泄漏了怎么办？

@jj123456 主要看气质哈哈哈，任何平台都有安全风险的啊，不过没听过他们家出问题，如果你很在意这个……我还真不知道百分百保险的办法嗯……

@DoraJDJ @jason19659 现在 B 站有 https 了

@maye526 让我想到每一次在 app store 里面看到支付宝的更新日志，从来都没有提及他们修复了多少安全漏洞，都是增加了多少新功能:)

@jj123456 ~~