为什么更安全的 HTTPS 协议没有在互联网上完全采用？

为什么更安全的 HTTPS 协议没有在互联网上完全采用？

• SSL 证书需要钱。功能越强大的证书费用越高。个人网站、小网站没有必要一般不会用。
• SSL 证书通常需要绑定 IP，不能在同一 IP 上绑定多个域名。IPv4 资源不可能支撑这个消耗。（ SSL 有扩展可以部分解决这个问题，但是比较麻烦，而且要求浏览器、操作系统支持。Windows XP 就不支持这个扩展，考虑到 XP 的装机量，这个特性几乎没用。）
• HTTPS 连接缓存不如 HTTP 高效，大流量网站如非必要也不会采用。流量成本太高。
• HTTPS 连接服务器端资源占用高很多，支持访客稍多的网站需要投入更大的成本。如果全部采用 HTTPS，基于大部分计算资源闲置的假设的 VPS 的平均成本会上去。
• HTTPS 协议握手阶段比较费时，对网站的相应速度有负面影响。如非必要，没有理由牺牲用户体验。
• 最关键的，SSL 证书的信用链体系并不安全。特别是在某些国家（咳咳，你们懂的）可以控制 CA 根证书的情况下，中间人攻击一样可行。

另外，在客户端被植入无数后门、木马的状况下，HTTPS 连接的作用非常有限。这也许是支付宝不可能像 PayPal 那么易用的原因之一。