?SSL证书是一种数字证书,用于保障网络数据传输的安全?。
你爱来不来吧,大哥不等了。
随着 Chrome火狐等浏览器对非 HTTPS 页面亮出警告及出于安全考虑越来越多的网站开始安装 SSL 证书将网络传输协议从 HTTP 升级为 HTTPS但对于 HTTPS 和 SSL 证书的功能使用性能目前还存在不少理解上的误区只有将这些误区破除才能将 HTTPS 和 SSL 证书更好地应用于网络安全策略中最大限度地发挥其作用
单从理论上讲可以这么说因为 HTTPS 比 HTTP 多出了 ssl 握手环节但这个环节耗费的时间一般仅有几百毫秒要知道 100 毫秒才相当于 0.1 秒所以我们很难发觉速度上的变化比较典型的是百度淘宝等网站均实现了 HTTPS但访问速度并未下降而有时HTTPS 反倒比 HTTP 更快一点这一般发生在一些大公司的内部局域网因为通常情况下公司的网关会截取并分析所有的网络通信但当它遇到 HTTPS 连接时就只能直接放行因为 HTTPS 经过加密无法被解读因为少了这个解读过程所以 HTTPS 会更快
为实现 HTTPS 升级 CPU购买更多服务器已经成为历史随着硬件性能的突飞猛进HTTPS 施加在硬件之上的运算压力已经越来越小再加上合理的优化和部署硬件成本增加几乎可以忽略不计
误区 3只有涉及资金的网站才需要 HTTPS
人们对银行电商金融等网站必须启用 HTTPS 已达成共识但其他类型的网站是否有这个必要呢《纽约时报》认为很有必要因为 HTTPS 有助于保护读者的隐私和确保内容的真实性它表示将让网站的全部内容都纳入 HTTPS 的保护下别忘了Chrome火狐已开始对非 HTTPS 页面进行警告谷歌百度均给予 HTTPS 页面更高的搜索权重因此不论从安全还是发展的角度来讲HTTPS 对各个类型的网站都非常必要
在登录页面部署 HTTPS避免密码被截取至于其它页面就不用了但这种想法是危险的因为如果仅登录页使用了 HTTPS在登录以后其他页面就变成了 HTTP这时页面缓存数据就暴露了也就是说这些缓存数据是在 HTTPS 环境下建立的但却在 HTTP 环境下传输如果有人劫持到这些缓存数据密码就很可能被盗正是基于这个原因目前很多网站都从单一的登录页 HTTPS 升级为全站 HTTPS
既然 HTTPS 必不可少我们就申请一张但 SSL 证书是收费的似乎并不便宜首先SSL 证书的价格在网络安全产品中属于比较亲民的其次货比三家或多关注 CA 机构的促销活动有助于申请到物美价廉的证书最后SSL 证书对数据用户安全的保护价值远远超过它的价格
国外品牌的 SSL 证书由于起步较早所以在性能上长期领先国产 SSL 证书以致大家形成了国外证书更好用的思维定式近年来诸如 CFCA天威等国产 SSL 证书实现了对微软谷歌苹果火狐等所有浏览器和操作系统的支持成为唯一可在性能上与国外证书相媲美的国产证书同时在证书申请速度优惠力度等方面较国外证书更有优势使国外证书不再是国内网站的唯一选择
好吧我愿意掏钱请 CA 机构马上给我发一张对不起SSL 证书并不是掏钱就一定能申请到你需要提交真实可靠的资料(如企业营业执照组织机构代码证等)经过 CA 人工审核通过后才可颁发如果是 EV 型 SSL 证书还会在此基础上追加律师函的审核之所以如此是因为 CA 要保证 SSL 证书被合法机构使用防止将证书颁发给不法人员并遭利用
这可以称为HTTPS 万能论部分企业也用 HTTPS 宣传自己的网站足够安全但实际上HTTPS 是利用 SSL 证书满足网络通讯传输加密和服务器身份验证这两个安全需求即防窃取防篡改防钓鱼别的安全需求就满足不了了众多网站安全问题也不可能仅靠一张 SSL 证书就全部解决
但传输加密和身份验证是网站安全的基础基础都打不好安全就是空谈所以请记住这句话对网络安全来说HTTPS 不是万能的但没有 HTTPS 是万万不能的
除非注明否则均为『明月登楼的博客』原创文章转载必须以链接形式标明本文链接