HTTPS全面普及的时代来临,SSL证书刻不容缓

浏览器地址栏里的HTTP可能将成为永远的过去时,取而代之的是更安全的HTTPS。

首先,HTTPS是什么?

HTTPS是Http Over SSL,简单来说就是HTTP的安全版本,在HTTP的基础上通过加密传输和身份认证保证了传输过程中的安全性。我们通常访问的网站大部分都是HTTP的,最简单的辨别方法可以看看网址是以http://开头还是https://开头。

HTTPS在国内的大型站点目前只用在部分账户的登陆和支付等环节。百度是国内第一个全站HTTPS的大型站点,原因是其用户多,流量大。而能够上线HTTPS也会打消疑虑,使用户更加放心,对于国内其他站点是很好的示范,同时也在加速国内互联网HTTPS的进程。

启用HTTPS协议的根本原因?

随着百度、京东等大公司纷纷用起了HTTPS,其根本原因又是什么。使用HTTPS成本的下降特别是计算成本的下降是2015年HTTPS爆发的主要原因。但网站开始做整站迁移至HTTPS的根本原因却在于过多用户投诉网站上出现影响浏览体验的大面积广告,是指原本的网页被放置到一个iframe里,并注入了Flash广告。查证浏览器地址栏还是正确的域名,没有被跳转。这只能说明是运营商劫持导致域名返回的内容不是来自网站的页面,而是被处理过的页面。这样可能带来的风险包括:跨域攻击、键盘记录、HTTPS证书伪造等,比一般钓鱼网站更危险。

甚至一些用户访问网站时遭遇到DNS劫持也就是俗称的DNS钓鱼攻击,劫持DNS服务器后,通过某些手段取得某域名的解析记录控制权,进而修改此域名的解析结果,导致对特定的网络不能反应或访问的是假网址。为了防止这种劫持,各大互联网公司只好选择HTTPS,进行数据加密而防止数据被篡改。

什么是SSL?

SSL是SecuritySocketLayer的缩写,技术上称为安全套接字,可以简称为加密通讯协议,使用SSL可以对通讯内容进行高强度的加密,以防止黑客监听您的通讯内容甚至是用户密码。

谷歌对SSL加密的描述

谷歌:与不加密的网络连接相比,使用SSL技术可提供更高的隐私性和安全性。它可降低信息被第三方拦截或滥用的风险。许多网站访问者在得知自己正在使用SSL连接后会更愿意提供付款信息以及其他个人信息。

实际上,谷歌对SSL的支持是显而易见的。就按照远方的海自己的例子,加上了SSL之后,谷歌的访问数目陡然上升了不少。如果你的网站主要是面对谷歌和海外用户,那么绝对不需要犹豫了,SSL是你的归宿!

而且SSL会保障网站的安全。比如,网站很多关键词出现敏感词,没有SSL的网站估计就难逃其咎了。之前V2EX因为敏感词被封,SSL端口依然还是可以访问。这个例子就证明了SSL的好处。

至于说百度对SSL,我认为百度这方面主要还是表现在“口头”上的,就照沈唁目前的体验,百度对SSL站点的收录和权重分配并没有“口头”上说的那么好,所以大家不要相信SSL可以提升收录速度、收录量、权重这些,做好“内容增益”才是当前主要工作。

一些对SSL错误的看法

客观的说SSL是会影响部分加载速度,但是绝对不是让你的网站一下就拖慢了。除非你是洁癖的“处女座”。

看法1:SSL会拖慢访问速度吗?

真相1:SSL实际上会比普通的HTTP80端口的访问多了一次HTTPS握手的时间(SSLHandshakeTime),这个握手时间其实相对于网页加载时间是很缓慢的。网页加载的时候,HTTP需要3次TCP握手链接;而HTTPS则需要12次握手链接,较之HTTP多了9次。所以在建立链接的时候,多出了一些HTTPS加密解密的时间。实际上这个时间基本在0.2秒之内,你说算不算是拖慢速度呢?

看法2:SSL占服务器资源吗?

真相2:我们用数据说话。只有足够大的流量和数据才具有可靠的真实性。那么Gmail的例子可以说是全球范围内,最有参考价值的例子之一了。

2010年1月Gmail切换到完全使用https,前端处理SSL机器的CPU负荷增加不超过1%,每个连接的内存消耗少于20KB,网络流量增加少于2%。由于Gmail应该是使用N台服务器分布式处理,所以CPU负荷的数据并不具有太多的参考意义,每个连接内存消耗和网络流量数据有参考意义。

那么SSL既然这么的好,为啥当今互联网上的普及率并不是很高呢?或者说就国内目前的互联网环境来说SSL好像并不是网站“标配”,或许下面的这些原因很能说明这个问题:

  • SSL证书需要钱。功能越强大的证书费用越高。个人网站、小网站没有必要一般不会用。
  • SSL证书通常需要绑定IP,不能在同一IP上绑定多个域名。IPv4资源不可能支撑这个消耗。(SSL有扩展可以部分解决这个问题,但是比较麻烦,而且要求浏览器、操作系统支持。WindowsXP就不支持这个扩展,考虑到XP的装机量,这个特性几乎没用。)
  • HTTPS连接缓存不如HTTP高效,大流量网站如非必要也不会采用。流量成本太高。
  • HTTPS连接服务器端资源占用高很多,支持访客稍多的网站需要投入更大的成本。如果全部采用HTTPS,基于大部分计算资源闲置的假设的VPS的平均成本会上去。
  • HTTPS协议握手阶段比较费时,对网站的相应速度有负面影响。如非必要,没有理由牺牲用户体验。
  • 最关键的,SSL证书的信用链体系并不安全。特别是在某些国家(咳咳,你们懂的)可以控制CA根证书的情况下,中间人攻击一样可行。

另外,在客户端被植入无数后门、木马的状况下,HTTPS连接的作用非常有限。这也许是支付宝不可能像PayPal那么易用的原因之一。

沈唁志博客在刚开始搭建以后就使用HTTPS访问模式,那会还是新站,没有太多文章图片替换,当时文章是博客开启HTTPS,最近这两天都在改引导页,没太注意其他的东西,改了一个满意样式以后才去关注地址的问题,没加跳转,也没加HTTPS,于是就开始操作这个渣渣引导页的HTTPS。因为引导页用的虚拟主机,想起来引导页这个网址没有申请证书,腾讯云的域名,于是就去了腾讯云后台申请证书,直接解析的DNS,所以基本是秒过的,下载证书,使用FTP上传到网站根目录,虚拟主机管理页配置就好了,301重定向,3w跳到不带3w,80端口使用.htaccess跳转到443端口,也没有太大的麻烦,引导页本来就没有太多的东西。现在基本上都是HTTPS访问,紧跟潮流吧。所说的HTTPS影响速度等等可以忽略不计,觉得HTTPS小绿锁逼格高,重要的是安心就行,哈哈哈。

2 条评论

发表评论

*