站长们对 SSL 证书和 HTTPS 协议是认知误区,还是

去年开始 HTTPS 协议被广泛重视和使用,许多的中小型网站也都争先从 HTTP 升级到了 HTTPS,而在这其中就有人开始针对网站安装 SSL 证书后的网站各种研究,总要去找出一点区别,或者说是非升级不可的理由似的,于是网上就出现了 HTTPS 将会让网站访问速度变慢,消耗服务器资源或增加网站成本的话题也就开始冒出来,那么今天HiTime就和大家来谈谈网站安装 SSL 证书升级到 HTTPS 协议后的认知误区。

SSL

HTTPS 会影响网站访问速度?

从技术层面来说,网站使用 HTTPS 协议比 HTTP 协议多出了 SSL 证书的握手验证环节,所以就会导致网站的访问变慢,速度那么在深度的了解就知道,这个 SSL 证书握手环节一般不会超过一百毫秒的时间,也就是说不到 0.1 秒,所以这个在我们实际访问站点是很难被明显的察觉到,所以是可以忽略这个访问速度的影响问题。

从网上一些人的测试来看,SSL 握手的耗时(64 毫秒)大概是 TCP 握手(22 毫秒)的三倍。也就是说,在建立连接的阶段,HTTPs 链接比 HTTP 链接要长 3 倍的时间,具体数字取决于 CPU 的快慢和网络状况。所以,如果是对安全性要求不高的场合,为了提高网页性能,建议不要采用保密强度很高的数字证书。一般场合下,1024 位的证书已经足够了,2048 位和 4096 位的证书将进一步延长 SSL 握手的耗时。

关于 HTTP 和 HTTPS 的区别可以查阅HiTime前面的文章“谈谈 HTTPS 协议和 SSL、TLS 之间的区别与关系”,我就不在这里展开赘述了。

HTTPS 会大幅增加硬件成本?

其实这个也未免有些大惊小怪了,HiTime身边的一些朋友的服务器也都是 1 核 1G1M 的配置,这似乎并不会有明显的影响或者说是增加硬件成本。

当然可能还有一些个人或者中小网站使用的是虚拟主机,在这样的共享服务器空间上面,如果要想安装 SSL 证书就需要服务器提供支持,就目前而言我们泪雪互联提供的虚拟主机也都已经支持配置 SSL,由于技术配置的原因会收费 30 元每年,所以也并不会大幅的增加服务器硬件成本,几乎可以忽略不计吧。

涉及资金或交易的网站才需要配置 HTTPS?

首先HiTime想说这真的是一个天大的误区,其最初 HTTPS 被广泛使用于资金或交易类的站点,所以不少用户认为,通常只有银行、电商、金融等等网站必须启用 HTTPS,因为这些网站跟资金密切相关,而其他类型网站则没有必要使用 HTTPS。

HTTPS 有助于保护用户隐私和确保内容的真实性,可以有效的防止一些网站被劫持或恶意广告的出现,而且HiTime不知道大家经常使用的是什么浏览器,是否有使用谷歌浏览器或者谷歌 chrome 内核的浏览器,最新版本的 Chrome 浏览器已经开始将传统的 http 协议网站标记为不安全,这也就意味着互联网发展的趋势。

SSL 证书很昂贵?

一个东西一旦涉及到费用,可能大多数站长会像HiTime曾经那样可以选择放弃,但是我们要知道,目前市面上有服务商提供免费的 SSL 证书申请,而且HiTime也曾整理过一份“免费 SSL 证书大全”,大家不妨可以看看。

当然 SSL 数字证书根据可信强度,大概可以分为:域名型 SSL 证书(DV SSL)、企业型 SSL 证书(OV SSL)、增强型 SSL 证书(EV SSL)这三种。我们所说的免费 SSL 证书都是最低级别的 DV SSL 证书,对于普通的个人网站、中小企业官网来说是可以满足需求的,从而也不用担心贵这个问题。

相反对于收费的企业型 SSL 和增强型 SSL 证书,确实就挺贵的了,这些一般都是大中型网站和企业的选择,并且HiTime相信这些企业有这样的需求,对于 SSL 证书的投入也不会犹豫,而且在众多 SSL 证书提供商中,用户可以通过使用服务商推出的促销活动来减少使用 SSL 证书的成本。

安装 SSL 证书,使用 HTTPS 后,网站就 100%安全?

我们要知道网站安全就和网络安全一样,既然暴露在网络中,就不可能存在 100%这个安全说法,我们更需要知道 HTTPS 是利用 SSL 证书满足网络通讯传输加密和服务器身份验证这两个安全需求,即防窃取、防篡改、防钓鱼,例如你服务器漏洞或者程序 bug 这个肯定是保证不了的,网站也并非是靠一个 SSL 证书就能安全。但传输加密和身份验证是网站安全的基础,基础都打不好,安全就是空谈。

简单总结

其实对于 SSL 证书可能还会有使用或者兼容的误区,但是HiTime觉得也都不那么重要,对于我们一般人说使用的免费证书都是绑定了对应的域名的,不能任意的使用,至于 SSL 证书与浏览器或者移动设备不兼容的问题,是服务器需要解决的问题,并且目前市面上知名的 SSL 证书机构提供的证书在兼容性这方面是不用担心的,Let's Encrypt 的虽然免费,但是兼容性也绝对不差的。

那么对于 SSL 证书或者说是对网站 HTTPS 协议部署到底是误区还是小题大作并不重要,因为对于网站安全来说,HTTPS 即使不是万能而且还可能收费,但没有 HTTPS 却似乎万万不能,这就是传说中的大势所趋了吧!

内容版权声明:文章由沙漏博客 博主:颜浩 分享提供!

转载注明出处:https://www.58yanhao.com/a/108.html