在互联网的世界中，https 协议已经成为了保障数据安全和传输加密的重要手段。然而，对于 https 发起方是否需要证书这个问题，却常常引发人们的疑惑和讨论。

让我们来了解一下 https 的基本原理。https 是基于 SSL/TLS 协议构建的，它通过在客户端和服务器之间建立加密连接，确保数据在传输过程中不被窃取、篡改或伪造。而证书则是 https 安全机制的重要组成部分，它由受信任的证书颁发机构（CA）签发，用于验证服务器的身份和公钥的合法性。

从理论上来说，https 发起方是需要证书的。这是因为证书的存在可以提供以下几个重要的安全保障：

一方面，证书可以验证服务器的身份。当客户端与服务器建立 https 连接时，它会验证服务器提供的证书是否合法。证书中包含了服务器的域名、公钥等信息，客户端通过与证书颁发机构的验证链条进行比对，来确认服务器的身份真实性。如果证书无效或被篡改，客户端将拒绝与该服务器建立连接，从而避免遭受中间人攻击等安全威胁。

另一方面，证书可以保证数据传输的加密性。服务器的公钥被包含在证书中，客户端使用该公钥对发送的数据进行加密，只有服务器拥有对应的私钥才能解密。这样，即使数据在网络传输过程中被截获，攻击者也无法解密数据，从而保护了用户的隐私和敏感信息。

然而，在实际情况中，也存在一些特殊情况使得 https 发起方可能不需要证书。例如，在内部网络环境中，如企业内部的办公网络或局域网，由于网络环境相对封闭和安全，可能不需要使用外部的证书颁发机构来签发证书。此时，企业可以自行搭建内部的证书颁发机构，为内部的服务器签发证书，以实现 https 连接和数据加密。

另外，在一些测试环境或开发环境中，为了方便开发和调试，也可能暂时不使用证书。例如，在本地开发环境中，开发人员可以使用自签名证书来进行测试，虽然自签名证书的安全性不如由受信任的 CA 签发的证书，但在开发阶段可以满足基本的需求。

需要注意的是，即使 https 发起方不需要外部的证书，也应该采取其他安全措施来保障数据的安全。例如，使用防火墙、访问控制列表等技术来限制网络访问，对服务器进行定期的安全审计和漏洞扫描等。

综上所述，https 发起方通常是需要证书的，证书可以提供身份验证和数据加密等重要的安全保障。但在某些特殊情况下，如内部网络环境或测试环境中，可能可以暂时不使用证书。无论如何，保障数据的安全始终是至关重要的，https 协议和证书只是其中的一部分，还需要结合其他安全措施来共同构建一个安全的网络环境。