如今,https协议正被广泛重视和使用。随着今年2月初谷歌Chrome浏览器宣布将所有http标记为不安全网站,不少网站争相从http升级到https。当你打开很多网站时,你会发现浏览器左上角有一个绿色的安全锁,这证明该网站已经被https加密保护。之所以实施https加密保护,主要是因为网站使用了SSL证书。现在很多网站都使用SSL证书对网站数据传输进行加密,尤其是银行、金融、电子商务网站。但是,很多人对https有很多误解。例如,https会降低网站访问速度、消耗服务器资源、增加网站成本等。为了让大家对https有一个更清晰的认识,今天我们就来说说网站升级到https协议后的认知误区。误区一:https会拖慢网站访问速度随着网民的增多,用户可能会担心https会拖慢网站访问速度。好在虽然网站使用的是HTTPS协议,但是SSL证书的握手验证比HTTP协议要多,但是SSL证书握手一般不会超过100毫秒,也就是不到0.1秒。在大多数情况下,https实际上是指http/2,它是标准http协议的修订版。它旨在通过压缩数据和减少所涉及的流程将页面加载时间减少50%。如果https性能优化做得好,https并不会拖慢网站的访问速度。有时候https比http快一点,一般是大公司的内部局域网。一般情况下,公司的网关会拦截分析所有的网络通信,但是遇到https连接时,只能直接放过去,因为https是加密的,无法解读。因为少了这个解释过程,https会更快。误区二:https会大大增加硬件配置成本为了实现https,升级CPU、购买更多服务器的方式已经成为历史。可能会有一些个人或中小型网站使用虚拟主机。在这样的共享服务器空间中,如果要安装SSL证书,需要服务器提供支持。目前,大部分虚拟主机都已经支持SSL的配置。随着硬件性能的飞速发展,https对硬件的计算压力越来越小。再加上合理的优化部署,硬件成本的增加几乎可以忽略不计。误区三:只有数据敏感的网站才需要启用https人们已经达成共识,银行、电子商务、金融等网站必须启用https,但其他类型的网站有必要吗?我们认为有必要,因为https有助于保护用户的隐私和保证内容的真实性,声明将把网站的所有内容都置于https的保护之下。Chrome和Firefox已经开始对非https页面发出警告,Google和百度也给予https页面更高的搜索权重。所以无论是从安全还是发展的角度,https对于各类网站都是非常有必要的。误区四:可以随意申请SSL证书有些人看到网上有免费的SSL证书,就认为申请SSL证书很容易。事实上,容易申请的SSL证书很便宜或免费,高级的SSL证书不一定申请钱。按照信任强度,SSL证书大致可以分为域名证书(DVSSL)、企业证书(OVSSL)和增强型证书(EVSSL)三种。现在所说的免费SSL证书是DVSSL证书中最低级别的。对于高级EVSSL证书,需要提交真实可靠的材料(如营业执照、组织机构代码证等),并需要CA进行人工审核。通过后才能颁发,很多企业因提交材料不全或不真实而未能申请。误区五:有了https,网站就100%安全了。这堪称“https无所不能”。一些公司还使用https来宣传他们的网站足够安全。但实际上,https是通过SSL证书来满足网络通信传输加密和服务器认证的两种安全需求,即防盗用、防篡改和防钓鱼。无法满足其他安全要求。很多网站安全问题不是仅靠一张SSL证书就能解决的,但是传输加密和身份验证是网站安全的基础。基础打不好,安全就是一句空话。所以,对于网络安全来说,https并不是万能的,但是没有https是万万不行的。在网络安全事件频发的时代,部署https是不可逆转的趋势。随着申请SSL证书的用户越来越多,在SSL证书申请过程中需要注意的事项还是很多的。我们不能忽视网络安全的任何细节。小小的证书只是网络安全中的一个小环节,但其重要性可见一斑。所以用户一定要选择像天威诚信这样可信的证书签发CA机构。只有这样,才能将网络置于安全的保护伞下,在更可信的环境中享受自由的网络生活。
