现在很多主流浏览器都开始标记没有HTTPS的网站为不安全网站,这样导致了普通用户对网站有着误解,随着 Chrome、火狐等浏览器对非 HTTPS 页面亮出警告及出于安全考虑,越来越多的网站开始安装 SSL 证书,将网络传输协议从 HTTP 升级为 HTTPS。但对于 HTTPS 和 SSL 证书的功能、使用、性能,目前还存在不少理解上的误区。只有将这些误区破除,才能将 HTTPS 和 SSL 证书更好地应用于网络安全策略中,最大限度地发挥其作用。但传输加密和身份验证是网站安全的基础,基础都打不好,安全就是空谈。所以请记住这句话——对网络安全来说,HTTPS不是万能的,但没有HTTPS是万万不能的!
HTTPS 与 SSL 证书八大误区
误区 1:HTTPS 会使网站访问速度明显变慢
单从理论上讲可以这么说,因为 HTTPS 比 HTTP 多出了 ssl 握手环节。但这个环节耗费的时间一般仅有几百毫秒,要知道 100 毫秒才相当于 0.1 秒,所以我们很难发觉速度上的变化。比较典型的是百度、淘宝等网站均实现了 HTTPS,但访问速度并未下降。而有时,HTTPS 反倒比 HTTP 更快一点,这一般发生在一些大公司的内部局域网。因为通常情况下,公司的网关会截取并分析所有的网络通信。但当它遇到 HTTPS 连接时就只能直接放行,因为 HTTPS 经过加密无法被解读。因为少了这个解读过程,所以 HTTPS 会更快。
误区 2: HTTPS 会大幅增加硬件成本
为实现 HTTPS 升级 CPU、购买更多服务器已经成为历史。随着硬件性能的突飞猛进,HTTPS 施加在硬件之上的运算压力已经越来越小,再加上合理的优化和部署,硬件成本增加几乎可以忽略不计。
误区 3:只有涉及资金的网站才需要 HTTPS
人们对银行、电商、金融等网站必须启用 HTTPS 已达成共识,但其他类型的网站是否有这个必要呢?《纽约时报》认为很有必要,因为 HTTPS 有助于保护读者的隐私和确保内容的真实性,它表示将让网站的全部内容都纳入 HTTPS 的保护下。别忘了,Chrome、火狐已开始对非 HTTPS 页面进行警告,谷歌百度均给予 HTTPS 页面更高的搜索权重。因此不论从安全还是发展的角度来讲,HTTPS 对各个类型的网站都非常必要。
HTTPS 与 SSL 证书八大误区
误区 4:在登录页面部署 HTTPS 即可
在登录页面部署 HTTPS,避免密码被截取,至于其它页面就不用了。但这种想法是危险的,因为如果仅登录页使用了 HTTPS,在登录以后,其他页面就变成了 HTTP。这时,页面缓存数据就暴露了。也就是说,这些缓存数据是在 HTTPS 环境下建立的,但却在 HTTP 环境下传输。如果有人劫持到这些缓存数据,密码就很可能被盗。正是基于这个原因,目前很多网站都从单一的登录页 HTTPS 升级为全站 HTTPS。
误区 5:SSL 证书很昂贵
既然 HTTPS 必不可少,我们就申请一张,但 SSL 证书是收费的,似乎并不便宜?首先,SSL 证书的价格在网络安全产品中属于比较亲民的;其次,货比三家或多关注 CA 机构的促销活动,有助于申请到物美价廉的证书;最后,SSL 证书对数据、用户安全的保护价值远远超过它的价格。
误区 6:国外的 SSL 证书更好用
国外品牌的 SSL 证书由于起步较早,所以在性能上长期领先国产 SSL 证书,以致大家形成了国外证书更好用的思维定式,近年来,诸如 CFCA、天威等国产 SSL 证书实现了对微软、谷歌、苹果、火狐等所有浏览器和操作系统的支持,成为唯一可在性能上与国外证书相媲美的国产证书,同时在证书申请速度、优惠力度等方面较国外证书更有优势,使国外证书不再是国内网站的唯一选择。
误区 7:SSL 证书可以随意申请
好吧,我愿意掏钱,请 CA 机构马上给我发一张。对不起,SSL 证书并不是掏钱就一定能申请到。你需要提交真实可靠的资料(如企业营业执照、组织机构代码证等),经过 CA 人工审核通过后才可颁发。如果是 EV 型 SSL 证书,还会在此基础上追加律师函的审核。之所以如此,是因为 CA 要保证 SSL 证书被合法机构使用,防止将证书颁发给不法人员并遭利用。
HTTPS 与 SSL 证书八大误区
误区 8:有了 HTTPS 网站就彻底安全了
这可以称为“HTTPS 万能论”,部分企业也用 HTTPS 宣传自己的网站足够安全。但实际上,HTTPS 是利用 SSL 证书满足网络通讯传输加密和服务器身份验证这两个安全需求,即防窃取、防篡改、防钓鱼,别的安全需求就满足不了了。众多网站安全问题也不可能仅靠一张 SSL 证书就全部解决。
HTTPS主要能保护网站、内外部网络上敏感数据的传输。可提供SSL、互联网上最受认可的信任标记以及恶意代码扫描。OV型SSL证书支持多域名扩展,可实现一个或多个站点经由多个域名的访问均得到安全保护。HTTPS安装了不是百分百安全,但是现在又不得不安装。