你一定要知道,關於HTTPS的五大錯誤觀念

 

如今,https協議正在被廣泛重視和使用。隨著今年2月初,GOOGLE旗下Chrome瀏覽器宣布將所有http標示為不安全網站,許多網站都爭相從http升級到了https。當你打開很多網站時,會發現瀏覽器左上角有一把綠色的安全鎖,這把鎖就證明該網站已經使用了https加密保護。

之所以會實現https加密保護,主要是因為該網站使用了SSL憑證。現在很多網站都會使用SSL憑證對網站資料進行傳輸加密,尤其是銀行、金融、電商類的網站。但很多人對於https的理解都存在不少錯誤觀念,比如https會讓網站訪問速度變慢、消耗伺服器資源、增加網站成本等等。為了能讓大家對https有更為清晰的認識,今天我們就來談談網站升級到https協議後的認知錯誤觀念。

錯誤觀念1:https會拖慢網站的訪問速度

隨著網路用戶的增加,用戶可能擔憂https會降低網站的訪問速度。幸運的是,網站使用https協議雖然比http協議多出了SSL憑證的握手驗證環節,但這個SSL憑證握手環節一般不會超過100毫秒,也就是說不到0.1秒。在大多數情況下,https實際上是指http/2,它是標準http協議的修訂版本,旨在通過壓縮數據和減少涉及的流程,將頁面加載時間縮短50%,如果做好https性能優化, https並不會拖慢網站的訪問速度。

有時,https反倒比http更快一點,這一般是大公司的內部局域網。通常情況下,公司的網站會截取並分析所有的網路通信,但當它遇到https連接時就只能直接放行,因為https經過加密無法被解讀。由於少了這個解讀過程,所以https會更快。

錯誤觀念2:https會大幅增加硬件配置成本

為了實現https,升級CPU、購買更多伺服器的方法已經成為歷史。可能會有一些個人或者中小網站使用的是虛擬主機,在這樣的共享伺服器空間上面,如果要想安裝SSL憑證就需要服務器提供支援。就目前而言,大部分虛擬主機都已經支持配置SSL,隨著硬體性能的突飛猛進,https施加在硬體之上的運算壓力已經越來越小,再加上合理的優化和部署,硬件成本增加幾乎可以忽略不計。

錯誤觀念3:只有資料敏感的網站才需要https

人們對銀行、電商、金融等網站必須啟用https已達成共識,但其他類型的網站是否有這個必要呢?我們認為很有必要,因為https有助於保護用戶的隱私和確保內容的真實性,它表示將讓網站的全部內容都納入https的保護。 Chrome、火狐已開始對非https頁面進行警告,GOOGLE、百度均給予https頁面更高的搜索權重。因此不論從安全還是發展的角度來講,https對各個類型的網站都非常必要。

錯誤觀念4:SSL憑證可以隨意申請

有些人看到網上有免費SSL憑證,就會認為申請SSL憑證很容易。其實,容易申請的SSL憑證都是便宜或免費的,高級的SSL憑證並不是掏錢就一定能申請到。 SSL憑證根據可信強度,大概可以分為:域名型憑證(DV SSL)、企業型憑證(OV SSL)、增強型憑證(EV SSL)三種。

現在所說的免費SSL憑證都是最低級別的DV SSL憑證,對於高級的EV SSL憑證來說,需要提交真實可靠的資料(如企業營業執照、組織機構證等),並且需要經過CA人工審核通過後才可頒發,很多企業因為提交資料不齊全或不真實而導致申請失敗。

錯誤觀念5:有了https,網站就100%安全了

這可以稱為“https萬能論”,部分企業也用https宣傳自己的網站足夠安全。但實際上,https是利用SSL憑證滿足網路通訊傳輸加密和伺服器身份驗證這兩個安全需求,即防竊取、防篡改、防釣魚,別的安全需求就滿足不了了。眾多網站安全問題也不可能僅靠一張SSL憑證就全部解決,但傳輸加密和身份驗證是網站安全的基礎,基礎都打不好,安全就是空談。因此,對網絡安全來說,https不是萬能的,但沒有https是萬萬不能的。

在網路安全事件頻發的時代,部署https已是不可逆的趨勢。隨著申請SSL憑證的用戶越來越多,在SSL憑證申請過程中依然還有很多內容需要注意。我們不能忽視網路安全的任何一個細節,一張小小的憑證固然只是網絡安全個微小環節,但其重要程度可見一斑,因此用戶一定要選擇像天威誠信這類受信任的憑證頒發CA機構,才能將網絡置於安全的保護傘之下,在更可信的環境下享受自由網絡生活。

史上最便宜探集SSL憑證700元起

About the Author

Leave a Reply