江苏龙网

  1. 首页 > 生活 > >

https比http更安全吗为啥大多数网站还是使用http

HTTPS Everywhere!
https比http更安全吗为啥大多数网站还是使用http

△ 图片来源于互联网 【https比http更安全吗为啥大多数网站还是使用http】 HTTP 协议无法加密数据,所有通信数据都在网络中明文“裸奔”,这是导致数据泄露、数据篡改、流量劫持、钓鱼攻击等安全问题的重要原因。而 HTTPS 是用来解决 HTTP 明文协议的缺陷,在 HTTP 的基础上加入 SSL/TLS 协议,依靠 SSL 证书来验证服务器的身份,为客户端和服务器端之间建立“SSL”通道,确保数据运输安全。
其实光有 HTTPS 还不够,全站 HTTPS 才是重中之重。
参考阅读:为什么非全站升级 HTTPS 不可?
就如问题中所说的,HTTPS 那么好,安全也那么重要,为什么大多数网站还是使用 HTTP?
原因有三:
SSL 证书费用:不少用户觉得开启 HTTPS 要申购 SSL 证书,每年要在证书上花费不菲的费用。HTTPS 连接服务器端资源占用高HTTPS 协议握手费时:多几次握手,网络耗时变长,用户从 HTTP 跳转到 HTTPS 还要一点时间。其实上述的几个问题都不存在,或者说可以通过优化来解决这些问题。
SSL 证书费用
现在市面上已经有不少云厂商提供免费 SSL 证书申请,像我们又拍云提供 Let’s Encrypt 和Symantec 的两款免费证书。
详见如何一键申请又拍云 Let’s Encrypt,Symantec 免费证书并升级 HTTPS
服务器资源消耗
这里的消耗主要来自于握手时候的消耗,建好连接之后就不太耗了。那么采用 HTTPS 后,到底会多用多少服务器资源?
2010年1月 Gmail切换到完全使用 https, 前端处理 SSL 机器的CPU 负荷增加不超过1%,每个连接的内存消耗少于20KB,网络流量增加少于2%。由于 Gmail 应该是使用N台服务器分布式处理,所以CPU 负荷的数据并不具有太多的参考意义,每个连接内存消耗和网络流量数据有参考意义。这篇文章中还列出了单核每秒大概处理1500次握手(针对1024-bit 的 RSA),这个数据很有参考意义,具体信息来源的英文网址:ImperialViolet。访问速度
繁重的计算和多次交互天然的影响了 HTTPS 的访问速度。如果什么优化都不做,HTTPS 会明显慢很多。如果做过常规优化,但是不针对 HTTPS 做优化,这种情况下测试的结果是 0.2-0.4 秒耗时的增加。如果是没有优化过的站点,慢 1 秒都不是梦。
所以,不是慢,是没有优化。
对优化这块有兴趣的可以看下,详解又拍云 CDN 全站 HTTPS 访问优化。

■网友
百度在 2015 年 4 月前后刚开始支持检索 HTTPS 网站,所以在这之前,国内网站是既不敢也不能全面使用 HTTPS 的,而如果同时支持 HTTPS 和 HTTP,额外的运维、计算和证书购买成本根本没有办法带来足够的好处。Google 在 2014 年已经把 HTTPS 作为网站打分的加分项了。翻了过去十几年的网页,根本找不到“Google 开始爬取 HTTPS 网站”的新闻…
■网友
https = http和SSL/TLS组队。SSL/TLS提供了身份验证、加密和签名等安全措施来保护用户和服务器之间的数据传输,但是,这些都是需要成本的,比如网站需要额外购买SSL/TLS数字证书。另外,加解密数据也需要额外的计算开销,也就是可能需要更好的服务器来保证访问速度。
■网友
因为https需要花钱买证书 大部分都不喜欢额外的开销,因为他们不在意也不需要……
■网友
最近两年越来越多的网站开始使用HTTPS协议,很多浏览器对于不使用HTTPS协议的网站会提示不安全,甚至谷歌、百度等搜索引擎巨头对于HTTPS网站都会给到更好的搜索排名,这边文章就来讲一下为什么要使用。
https比http更安全吗为啥大多数网站还是使用http


推荐阅读


上一篇:单例模式和连接池的效率区别

下一篇: 「人是养不好花」有这6种心态的人,养不好花,快看你有没有中!