自从谷歌Chrome浏览器2月初宣布“屏蔽”HTTP并将所有HTTP标记为不安全网站后,越来越多的网站用户开始安装SSL了证书将网络传输协议从HTTP升级为HTTPS。然而,很多用户对HTTPS和SSL证书的作用、用途、性能等并不是很清楚,甚至在理解上存在很多误区。误区一:HTTPS会明显降低网站访问速度。理论上可以说,这是因为HTTPS比HTTP有更多的SSL握手链接。但是这个环节耗费的时间一般只有几百毫秒。要知道100毫秒相当于0.1秒,所以我们很难察觉到速度的变化。更典型的是,百度、淘宝等网站已经实现了HTTPS,但访问速度并没有下降。有时,HTTPS比HTTP更快,这种情况通常发生在一些大公司的内部局域网中。通常,公司的网关会拦截并分析所有网络流量。但是当它遇到HTTPS连接时,它只能直接放手,因为HTTPS是加密的,无法解释。由于缺少这个解释过程,HTTPS会更快。误区二:HTTPS会大大增加硬件成本升级CPU、购买更多服务器来实现HTTPS已经成为历史。随着硬件性能的飞速发展,HTTPS对硬件的计算压力越来越小。再加上合理的优化部署,硬件成本的增加几乎可以忽略不计。误区三:只有涉及资金的网站才需要启用HTTPS人们已经达成共识,银行、电子商务、金融等网站必须启用HTTPS,但其他类型的网站有必要吗?《纽约时报》认为有必要,因为HTTPS有利于保护读者的隐私和保证内容的真实性,表示会让网站的所有内容都受到HTTPS的保护。别忘了,Chrome和Firefox已经开始警告非HTTPS页面,Google和百度也给予HTTPS页面更高的搜索权重。因此无论是从安全还是发展的角度,HTTPS对于各类网站都是非常有必要的。误区四:在登录页面部署HTTPS可以在登录页面部署HTTPS,避免密码被拦截,至于其他页面,则不用。但这种想法是危险的,因为如果只有登录页面使用HTTPS,登录后其他页面都变成HTTP。此时,页面缓存数据就暴露了。也就是说,这些缓存数据是在HTTPS环境下建立的,但是在HTTP环境下传输的。如果有人劫持了这些缓存数据,密码就很有可能被盗。也正是因为这个原因,目前很多网站都在从单一登录页面HTTPS升级到全站HTTPS。误区五:SSL证书很贵因为HTTPS必不可少,所以我们申请了一个,但是SSL证书是收费的,价格也不便宜。事实上,SSL证书的价格在网络安全产品中属于比较实惠的。而在众多SSL证书提供商中,用户可以通过服务提供商推出的促销活动来降低使用SSL证书的成本。误区六:最好用国外的SSL证书。由于起步较早,在性能上长期领先国内SSL证书,以至于大家形成了国外证书更好的心态。而就在去年,中国金融认证中心(CFCA)的国产SSL证书实现了对微软、谷歌、苹果、火狐等所有浏览器和操作系统的支持,成为国内唯一一款性能可与国外证书媲美的证书.,同时在证书申请速度和优惠力度上比国外证书更有优势,让国外证书不再是国内网站的唯一选择。误区七:SSL证书可以随意申请。SSL证书不是随意申请的。您需要提交真实可靠的材料(如营业执照、组织机构代码证等),经人工审核后方可签发。这样做的原因是服务提供商需要确保SSL证书被合法组织使用,并防止证书被颁发给不法分子并被使用。误区八:有了HTTPS,网站就完全安全了。这可以称为“HTTPS***论”,一些公司也使用HTTPS来宣传自己的网站足够安全。但实际上,HTTPS是通过SSL证书来满足网络通信传输加密和服务器认证的两大安全需求,即防盗用、防篡改和防钓鱼。无法满足其他安全要求。很多网站安全问题不能只靠一张SSL证书来解决。然而,传输加密和身份验证是网站安全的基础。基础打不好,安全就是一句空话。所以请记住这句话——HTTPS对于网络安全来说不是最好的,但是没有HTTPS是万万不行的!
