如今,https協定正在被廣泛重視和使用。随着今年2月初,谷歌旗下Chrome浏覽器宣布将所有http标示為不安全網站,許多網站都争相從http更新到了https。當你打開很多網站時,會發現浏覽器左上角有一把綠色的安全鎖,這把鎖就證明該網站已經使用了https加密保護。
之是以會實作https加密保護,主要是因為該網站使用了SSL證書。現在很多網站都會使用SSL證書對網站資料進行傳輸加密,尤其是銀行、金融、電商類的網站。但很多人對于https的了解都存在不少誤區,比如https會讓網站通路速度變慢、消耗伺服器資源、增加網站成本等等。為了能讓大家對https有更為清晰的認識,今天我們就來談談網站更新到https協定後的認知誤區。
誤區1:https會拖慢網站的通路速度
随着網際網路使用者的增加,使用者可能擔憂https會降低網站的通路速度。幸運的是,網站使用https協定雖然比http協定多出了SSL證書的握手驗證環節,但這個SSL證書握手環節一般不會超過100毫秒,也就是說不到0.1秒。在大多數情況下,https實際上是指http/2,它是标準http協定的修訂版本,旨在通過壓縮資料和減少涉及的流程,将頁面加載時間縮短50%,如果做好https性能優化,https并不會拖慢網站的通路速度。
有時,https反倒比http更快一點,這一般是大公司的内部區域網路。通常情況下,公司的網關會截取并分析所有的網絡通信,但當它遇到https連接配接時就隻能直接放行,因為https經過加密無法被解讀。由于少了這個解讀過程,是以https會更快。
誤區2:https會大幅增加硬體配置成本
為了實作https,更新CPU、購買更多伺服器的方法已經成為曆史。可能會有一些個人或者中小網站使用的是虛拟主機,在這樣的共享伺服器空間上面,如果要想安裝SSL證書就需要伺服器提供支援。就目前而言,大部分虛拟主機都已經支援配置SSL,随着硬體性能的突飛猛進,https施加在硬體之上的運算壓力已經越來越小,再加上合理的優化和部署,硬體成本增加幾乎可以忽略不計。
誤區3:隻有資料敏感的網站才需要https
人們對銀行、電商、金融等網站必須啟用https已達成共識,但其他類型的網站是否有這個必要呢?我們認為很有必要,因為https有助于保護使用者的隐私和確定内容的真實性,它表示将讓網站的全部内容都納入https的保護。Chrome、火狐已開始對非https頁面進行警告,谷歌、百度均給予https頁面更高的搜尋權重。是以不論從安全還是發展的角度來講,https對各個類型的網站都非常必要。
誤區4:SSL證書可以随意申請
有些人看到網上有免費SSL證書,就會認為申請SSL證書很容易。其實,容易申請的SSL證書都是便宜或免費的,進階的SSL證書并不是掏錢就一定能申請到。SSL證書根據可信強度,大概可以分為:域名型證書(DV SSL)、企業型證書(OV SSL)、增強型證書(EV SSL)三種。
現在所說的免費SSL證書都是最低級别的DV SSL證書,對于進階的EV SSL證書來說,需要送出真實可靠的資料(如企業營業執照、組織機構代碼證等),并且需要經過CA人工稽核通過後才可頒發,很多企業因為送出資料不齊全或不真實而導緻申請失敗。
誤區5:有了https,網站就100%安全了
這可以稱為“https萬能論”,部分企業也用https宣傳自己的網站足夠安全。但實際上,https是利用SSL證書滿足網絡通訊傳輸加密和伺服器身份驗證這兩個安全需求,即防竊取、防篡改、防釣魚,别的安全需求就滿足不了了。衆多網站安全問題也不可能僅靠一張SSL證書就全部解決,但傳輸加密和身份驗證是網站安全的基礎,基礎都打不好,安全就是空談。是以,對網絡安全來說,https不是萬能的,但沒有https是萬萬不能的。
在網絡安全事件頻發的時代,部署https已是不可逆的趨勢。随着申請SSL證書的使用者越來越多,在SSL證書申請過程中依然還有很多内容需要注意。我們不能忽視網絡安全的任何一個細節,一張小小的證書固然隻是網絡安全個微小環節,但其重要程度可見一斑,是以使用者一定要選擇像天威誠信這類受信任的證書頒發CA機構,才能将網絡置于安全的保護傘之下,在更可信的環境下享受自由網絡生活。
原文:http://www.d1net.com/security/news/552826.html