自從2月初谷歌旗下Chrome瀏覽器宣佈“封殺”HTTP將所有HTTP標示為不安全網站以後,越來越多的網站使用者開始安裝SSL證書,將網路傳輸協議從HTTP升級為HTTPS。但對於HTTPS和SSL證書的功能、使用、效能,其實目前很多使用者並不十分清楚,甚至說在理解上存在不少誤區。
誤區一:HTTPS會使網站訪問速度明顯變慢
單從理論上講可以這麼說,因為HTTPS比HTTP多出了SSL握手環節。但這個環節耗費的時間一般僅有幾百毫秒,要知道100毫秒才相當於0.1秒,所以我們很難發覺速度上的變化。
比較典型的是百度、淘寶等網站均實現了HTTPS,但訪問速度並未下降。而有時,HTTPS反倒比HTTP更快一點,這一般發生在一些大公司的內部區域網。因為通常情況下,公司的閘道器會擷取並分析所有的網路通訊。但當它遇到HTTPS連線時就只能直接放行,因為HTTPS經過加密無法被解讀。因為少了這個解讀過程,所以HTTPS會更快。
誤區二:HTTPS會大幅增加硬體成本
為實現HTTPS升級CPU、購買更多伺服器已經成為歷史。隨著硬體效能的突飛猛進,HTTPS施加在硬體之上的運算壓力已經越來越小,再加上合理的優化和部署,硬體成本增加幾乎可以忽略不計。
誤區三:只有涉及資金的網站才需要
HTTPS人們對銀行、電商、金融等網站必須啟用HTTPS已達成共識,但其他型別的網站是否有這個必要呢?
《紐約時報》認為很有必要,因為HTTPS有助於保護讀者的隱私和確保內容的真實性,它表示將讓網站的全部內容都納入HTTPS的保護下。別忘了,Chrome、火狐已開始對非HTTPS頁面進行警告,谷歌百度均給予HTTPS頁面更高的搜尋權重。因此不論從安全還是發展的角度來講,HTTPS對各個型別的網站都非常必要。
誤區四:在登陸頁面部署HTTPS即可
在登入頁面部署HTTPS,避免密碼被擷取,至於其它頁面就不用了。但這種想法是危險的,因為如果僅登入頁使用了HTTPS,在登入以後,其他頁面就變成了HTTP。這時,頁面快取資料就暴露了。
也就是說,這些快取資料是在HTTPS環境下建立的,但卻在HTTP環境下傳輸。如果有人劫持到這些快取資料,密碼就很可能被盜。正是基於這個原因,目前很多網站都從單一的登入頁HTTPS升級為全站HTTPS。
誤區五:SSL證書很昂貴
既然HTTPS必不可少,我們就申請一張,但SSL證書是收費的,價格不便宜。其實SSL證書的價格在網路安全產品中屬於比較親民的。而且在眾多SSL證書提供商中,使用者可以通過使用服務商推出的促銷活動來減少使用SSL證書的成本。
誤區六:國外的SSL證書更好用
國外品牌的SSL證書由於起步較早,所以在效能上長期領先國產SSL證書,以致大家形成了國外證書更好用的思維定式。
但就在去年,中國金融認證中心(CFCA)的國產SSL證書實現了對微軟、谷歌、蘋果、火狐等所有瀏覽器和作業系統的支援,成為唯一可在效能上與國外證書相媲美的國產證書,同時在證書申請速度、優惠力度等方面較國外證書更有優勢,使國外證書不再是國內網站的唯一選擇。
誤區七:SSL證書可以隨意申請
SSL證書並不是隨意申請的,需要提交真實可靠的資料(如企業營業執照、組織機構程式碼證等),經過人工稽核通過後才可頒發。之所以如此,是因為服務商要保證SSL證書被合法機構使用,防止將證書頒發給不法人員並遭利用。
誤區八:有了HTTPS,網站就徹底安全了
這可以稱為“HTTPS萬能論”,部分企業也用HTTPS宣傳自己的網站足夠安全。但實際上,HTTPS是利用SSL證書滿足網路通訊傳輸加密和伺服器身份驗證這兩個安全需求,即防竊取、防篡改、防釣魚,別的安全需求就滿足不了了。眾多網站安全問題也不可能僅靠一張SSL證書就全部解決。
但傳輸加密和身份驗證是網站安全的基礎,基礎都打不好,安全就是空談。所以請記住這句話——對網路安全來說,HTTPS不是萬能的,但沒有HTTPS是萬萬不能的!
原文:http://server.51cto.com/Review-581019.htm