最近如果使用Chrome浏览器访问国内的很多网站的时候，比如exmail.qq.com, 你可能会注意到这样一个对话框：

这个是什么意思?访问链接没有私密性吗?

我上个邮箱，连私密性都没有了，那里面的照片应该怎么办?以前修电脑没有私密性，现在连上网都没有私密性，难道我又要红了?

等等，这里好像有点不对：网页私密性到底是个啥?为啥会提醒我这个问题?我不是已经输了密码登录了嘛?

事情要从头说起。

一、HTTPS(安全超文本协议)怎么来的?

1997年，CERN发明HTTP协议并用于万维网的时候，仅仅是为了在学术界内部做一个共享数据的平台, 并没有想到太多传输中的安全性。毕竟当年网络规模非常小，而计算机以及昂贵的网络设备并不是每个人都可以买得起的。

他们当然没有料到之后万维网居然成了一个信息传递的通用平台，一帮人甚至丧心病狂地在上面做起了Web电子邮箱、网络银行一类的服务。这类服务对安全性和私密性的要求都非常严格， 因为基本上没有人希望自己的银行密码，私人的邮件在传输中被第三方看到。

所以问题就来了，HTTP是明文传输的，倒是支持密码认证，只是不巧的是，密码也是明文传的。

针对这种情况，在网景的一帮科学家，特别是Dr. Taher Elgamal (号称SSL之父)的努力下，HTTPS横空出世了。

HTTPS里面，所有传输的数据都是加密过的，于是第三方无法在数据的传输过程中获得任何有用的数据，数据传输中的私密性自然得到了保证。

至少当初设计的目的是这样子。

HTTPS并非是一个全新的协议，其实是在HTTP的基础上，加了SSL(安全套接字)或者是后来的TLS(传输安全协议)。SSL/TLS工作在HTTP之下，负责加密所有传输的数据。

说个题外话，当时不仅仅是HTTP，众多的互联网上层协议，即应用层协议，STMP电子邮件协议一类，大多都是明文传输的，而移动互联网或者其他网络，都是基于一些标准的协议，就是TCP/IP协议簇。

早期时候，这些协议是由互联网领域专家联合制定的，就像现在制定法律的过程一样，而经过实际的验证，其不严谨性渐渐被发现，于是人们在此前的基础上进行不断更新，SSL/TLS就是这样出来的。

SSL/TLS由于是工作在TCP层和应用层之间，它可以加密任何应用层协议，包括STMP一类。从这个角度说来，网景对互联网的贡献其实是非常深远的。

HTTPS使用非对称算法交换密钥，这个也是一个非常精巧的算法，有兴趣的同学可以Google Chrome,浏览器，报警

比如上图所显示的，其实也没有审核纪录，不过警告的标示去掉了，说明谷歌其实自己也知道目前白名单的覆盖很差，一般找不到记录，并不会加上确切的警告标示。

所以，目前你可以忽略它。

关键在第二个：

本网站采用较弱的安全配置(SHA-1签名)，所以你的连接可能不是私人的。

这个就比较有意思了。

还是那个警官证的问题。要搞一个警官证除了去偷/骗/潜入公安部自己做一个真的以外，你还可以做个假的嘛。

对于数字证书来说，最重要的鉴别真假的部分是数字签名，而鉴于数字证书一般不小，不可能对每个字节都签一次名，一般来说是对数字证书的一个哈希值进行签名。

如果你不知道哈希值是什么，我给你打个比方。如果你是一个数字证书，那你的照片就是你的哈希值。

它包含下面2个条件：

- 通过合适的手段，可以从你产生你的照片，但是没法从照片产生你。意思是，先有你，才能有照片。

- 只有你可以精确的产生你的照片，别人都不行。你就是唯一的，你的特征是别人没有的。

所以如果想检查一个人的警官证，只需要看看照片能不能对上人(哈希值符合)，照片上面的骑缝章对不对(数字签名)，但是这个骑缝章只需要盖在照片上，而不需要盖在警官兄的脸上。

当然我知道这个比喻有非常多学术上的不严谨性，不过这个是我目前能找到最容易理解的比喻之一了。

数字证书中，SHA-1就是一种常见的哈希算法，可以像照相机一样，给你的数字证书生成一个唯一值(照片)。

只是这个算法有一个问题。这个函数由于设计时间早，强度太差，导致有可能用两个不同的数字证书可能会生成同样一个值。

这个就像如果你有一个照身份照的照相机，不过这个神奇的照相机拍的太模糊，以致于通过特殊的设定，可以用另外一个人照出和真实警官一模一样的照片。

恭喜你，如果你发现了这个设定，你就可以大规模的制作套牌警官证了。

这种现象在哈希函数中被称为“碰撞”。

对于SHA-1算法，如果要找到这个“特殊的设定”大概需要2的74次方个操作，也有论文指出只需要2的61次方个操作即可完成。这在SHA-1发明的时候是不可想象，其实现在也是不可行的，不过按照现在计算机的发展速度，2018年左右使用价格合适服务器集群理论上就可以破解(可以参考这里)。

于是，Chrome认为使用SHA-1的哈希函数都是潜在不安全的，于是会对所有使用SHA-1的网站证书提出警告，督促所有使用SHA-1的网站换为SHA-2。

不过注意，仅仅是潜在不安全， 目前还没有可行可靠的SHA-1碰撞算法出现。

所以，这些网站暂时是安全的，不过也希望站长们多多提高安全意识，因为SHA-1已经非常接近可以被“破解”边缘。很有可能会出现以上情况：被人找到碰撞算法或者说被破解，从而制作虚假警官证。

因为工作原因，Opera是Chromium安全组成员，所以我对这个内情比较了解。有兴趣可以去看看讨论组里面的撕逼贴, 截个屏放在这里：

Bang & OlufsenBeoPlay H3入耳式耳机测评报告

Bang & Olufsen[B&O]这家来自于丹麦的公司，产品的工业设计一直是业界典范，回顾B&O在消费类电子、音响等过去20-30年的产品，工业设计、外观材料的大胆创新与同类产品相比足以脱颖而出，在消费类电子蓬勃发展的近10多年里，B&O的设计也让他们的产品贴上了消费类电子中“奢侈”品的符号，是顶级工业设计的代名词。近年来，随着全球消费类电子产品普遍水平提升，B&O反而走起了比以往亲民许多的路线。B&O旗下Play团队定位于针对手机、平板等数码周边的音频类产品。BeoPlay则是这类产品使用的一个子品牌。

B&O BeoPlay与B&W、BOSE等传统音响品牌加入到苹果周边音频产品的步伐一致，由于B&O在大家印象中工业设计实在太过出色，产品过于“奢侈”，那些奇形怪状的音响其实很少有机会去感受。BeoPlay H3、H6耳机的发布，Play A8音响以及后来A9音响的发布，让B&O也走入了Apple Store，价格虽然不低，但在欧美市场来看并不比BOSE、B&W产品高。B&O BeoPlay H3这款耳机上市售价2000元以上，目前网购价格在1500-1800元左右。价格是不是还是不低?但这与那些B&O极度注重工业设计时代的电话机、音响比起来，价格上已经是完全不同的定位了。

BeoPlay H3耳机也是B&O入耳式耳机的主力型号，Apple Store入耳式耳机中的明星产品，线控和麦克风支持MFI苹果认真，兼容iPod与iOS线控多功能操作。想把一个小小的耳塞做出花来显然并不容易，加上同类产品近年来工业设计水平的提升，恐怕在H3耳机上再也找不到十多年前首代BeoCom电话和BeoLab音响的感觉了。

当然，BeoPlay H3还是一款看上去非常精致的耳机，如图所示金色部分耳机外壳由整块铝材料切削打磨而成，表面进行了阳极氧化处理，具有很好的抗磨损特性[官方称]。金属外壳主要构成耳机外壳的后半部，后侧专门设计了26个小孔，不仅用来装饰外观，同样与耳机内腔空气联通，具有调音作用，这部分设计对低音的调节改善，官方称之为Micro Bass Port。H3的前侧外壳使用塑料材质，与传统入耳式耳机的结构并没有什么不同，塑料材质的触感非常光滑佩戴的舒适度也非常好。从耳机外观做工整体细节来看，虽然难有区别于同类产品的巨大优势，但仔细去看还是可以看出做工上的优势。

B&O BeoPlay H3除了金色款外，还有红、黑和银色三种可选，附件方面并没有像很多高端发烧耳机那样丰富，不过却搭配了一个质感特别，漂亮的小巧收纳盒。另外，还有商务应用中不可缺少的飞机作为插座转换器等等。

既然这款耳机具有MFI认证，具有支持iOS和iPod的线控操作，所以本次测评也以iPhone 5s和iPod Classic作为主要参考音源，同时我们还使用vivo Xplay3s、Monitor 06 MX等音源作为重要参考。对比的耳机似乎比较难选，在不同档次我们都选取了几款大家熟悉的耳机。包括Vsonic VSD1s、GR07MKII、创新Aurvana Air、Westone W4R，价位有些悬殊?但列出它们是出于声音风格考虑，实际试听中我们使用的耳机当然要比这个多很多。对于H3这款耳机，我们煲机超过150小时。下面看看它的声音表现如何。

整体印象：BeoPlay H3耳机声音柔和，低频的量感稍多，低频的弹性有一定修饰成分来讨好一些流行音乐。它的高频并不明亮，但却有非常柔和与均衡、舒展的表现，即便是在一些品质并不够好的音乐制品上，那种高频的甜美，非常从容的细节表现，让它有些像Aurvana Air很润的高频细节风格，但作为入耳式耳机，又不像Aurvana Air那么明亮。与不同音源搭配，H3的风格表现比较一致，整体均衡、柔和的风格，尤其是柔和的人声，从容不迫的高频瞬态令人印象深刻。当遇到快节奏，低频较多的音乐时，H3的厚度和动态也绝对足够。

高频表现：在写测评之前回头看了一眼BeoPlay官方网站，H3这款耳机给出的频率范围是20Hz-16000Hz，这也许说明耳机在设计之时也专门限制了高频发挥，但16000Hz的指标似乎太守规矩了。它的高频不够明亮，整个耳机刚听起来甚至并不太抓人耳朵，给人印象不深。但听过不同风格几首音乐后就会发现它高频特点，H3的高频不但柔和、舒展，而且动态表现同样不错，即便在iPhone这样级别音源上，它在中高频衔接部分的动态甚至要比W4R还稍好一些。当表现小提琴、吉他等弦乐的高频时，H3表现出有比较明显趋势的偏于甜美的风格，极高频部分声音非常润，即便是手机这样比较冲的风格也在H3上变得内敛甜美。这样的高频在搭配素质并不是很高的播放器时也可以表现出非常优美舒展温暖的弦乐，如果更换更好的音源，细节表现会更上一个台阶。

与VSD1s相比，似乎不是同价位的耳机?但H3的高频甚至要比VSD1s还略暗一些;与W4R相比，H3的高频向上延伸肯定是有明显差距的，解析力也会稍弱。与Aurvana Air相比，它们瞬态表现有些接近，声音比较润，但Aurvana Air在手机上还是略显发干涩，而H3在手机上也可以表现的很不错，当然声音略暗一些。在中高频部分，H3恐怕是近期Soomal测评的动圈入耳式耳塞中最为均衡，动态表现最好的一款。怎么解释呢?在中频部分谈到。

中频表现：H3的中频对于不同音源的表现会稍微敏感一些，在驱动力足够好的Xplay3s上，它的中频动态会明显优于iPhone，但整体比较柔和舒展的风格没有变化。这样的风格可能在一些播放器或本身比较柔和人声录音中显得中频不够扎实，这也是H3在更好的播放器音源上能够有很大提高的一个环节。但H3中频的解析力仍然处于动圈耳机中较高水准，与VSD1s、GR07MKII等相比，声音更为舒展，毫无生硬、粗鲁的感觉，女声和男声都表现的有趋于甜美的趋势。与GR07MKII和W4R相比，H3的中频风格稍显浓郁，动态要差一些。男声表现似乎不够扎实、结像不够立体。但大多数人声表现非常舒展，柔美。在中高频部分的非常好的控制力，让它的声场比较开阔，女声的齿音恐怕是所有耳机中都属于极少的，声音从容、稳定，大动态下又足够明亮[中高频甚至好于W4R]。与高端动铁耳机相比是完全不同的风格，即便比较柔和偏重人声的舒尔，在H3面前相比也显得过于直白，生硬。而面对大编制交响乐或快节奏的流行音乐，H3的动态也足够应付，中低频部分偏浓郁风格反而让声音更有弹性，这种低频的修饰感在入耳式耳机中多多少少有一些。H3并不算太重口味。

低频表现：BeoPlay H3的低频似乎与Play品牌下的产品都比较近似，这也与该系列产品针对新兴的手机数码周边相关。与B&W、BOSE等调音风格有些类似。曾经听过B&O的Play A8，低频量感也会稍多一些。H3的低频很有弹性，是那种修饰过的比较圆润的弹性，这种低频很讨好一些流行音乐中电声乐器的低频，当然它比较柔和的风格，以及中低频部分比较好的衔接更突出它低频方面的优势。难得的是，H3的低频并不难控制，即便在iPhone5s[最好是iPod Classic以上水平]上，播放很BT的大动态低频，H3也可以很愉快的“弹出”。与VSD1s或VSD3可怕的气势相比，H3则收敛很多;与W4R或GR07MKII相比，H3则丰满又舒展不少。由于它的低频瞬态和动态对音源要求相对不高，即便在播放古典音乐时，它的低频的厚重感也可以带来不错的听感，只是这种修饰痕迹稍显明显，但动态、细节表现同样令人满意。

总结

B&O BeoPlay H3耳机恐怕是第一耳朵并不能特别引人注意的耳机，与近年来大多数中高端耳机新品相比，它高频偏暗不够凌厉解析力明显不是优势。但只要多花一点时间去听你非常熟悉的音乐就会发现H3音色上的特点，整体相对均衡的表现。它牺牲了部分高频向上的延伸虽然让极高频的细节有所损失，但却让整个高频的细节得到了非常好的控制，至少在动圈入耳式耳机中，声音层次、瞬态、大动态下的从容表现一直保持柔和、舒展，偏甜美、润的味道的耳机几乎是没有的。尤其在搭配iPhone、甚至Xplay3s时，大动态下其他耳机多多少少会有些毛刺感，而H3却始终从容。中频柔和的风格可能让部分音乐力度稍显不足，但细节和柔美的风格仍然非常适合表现器乐、人声或轻音乐。而在非常热闹的音乐中，H3的低频又成了利器，它低频动态十足，声音丰满，有比较特别的比较迅速的弹性，虽然此时中频稍显薄弱，但整体听感仍然比较干净，从容。H3同样适合搭配高水准的播放器、声卡，这会让它高频更显细腻甜美，而中频动态不足问题也会明显改善。B&O BeoPlay H3是目前Soomal测试过入耳式动圈耳机中整体表现非常好的一款。