贾欣雯技者
HTTPS的出现几乎与网络一样久,但它目前主要用于处理资金的网站——您的银行网站或购买信用卡数据的购物车。甚至许多使用HTTPS的网站也仅将其用于需要它的网站部分,例如购物车或帐户页面。
去年,当FireSheep网络嗅探工具让任何人都可以轻松地通过不安全的网络检测您的登录信息,您当地的咖啡店的热点或图书馆的公共Wi-Fi时,网络安全得到了充分发挥。这促使许多大型网站开始在HTTPS连接上提供其服务的加密版本。
最近甚至像Twitter这样的网站(其中几乎完全是公共数据)仍提供HTTPS连接。您可能不介意任何人在前往服务器途中嗅探和阅读您的Twitter消息,但大多数人不希望有人也阅读他们的用户名和密码信息。这就是为什么Twitter最近宣布强制HTTPS连接的新选项(请注意,Twitter的HTTPS选项仅适用于桌面浏览器,而不适用于仍需要手动输入HTTPS地址的移动网站)。
谷歌甚至宣布它将为该公司的许多API添加HTTPS。 Firefox用户可以更进一步,使用HTTPS Everywhere附加组件强制HTTPS连接到几十个提供HTTPS的网站,但默认情况下不使用它。
因此,随着网络明显转向更多HTTPS连接,为什么不只是将所有内容都设为HTTPS?
大多数Web开发人员可能会注意到一些普通用户并不会注意到实际问题,例如安全证书的高成本,但显然对于拥有数百万美元的大型Web服务来说,这并不是一个问题。
根据Lafon的说法,真正的问题是使用HTTPS会失去缓存能力。 当服务器和客户处于相同的区域时,这并不是真正的问题,但是不同区域的人就不可以缓存并且没有足够的的响应时间。
Lafon还指出,使用HTTPS时会有另一个小的性能损失,因为“SSL初始密钥交换会增加延迟。”换句话说,使用当今的技术,纯粹以安全为中心,仅支持HTTPS的网络会变慢。
对于没有任何理由加密任何东西的网站 ,换句话说,你永远不会登录,所以没有什么可以保护的,HTTPS附带的缓存开销和丢失都没有意义。但是,对于像Facebook,Google Apps或Twitter这样的大型网站,许多用户可能愿意接受轻微的性能影响以换取更安全的连接。越来越多的网站正在增加对HTTPS的支持这一事实表明,只要速度差异很小,用户就会非常重视安全性。
运行HTTPS站点的另一个问题是操作成本。虽然服务器速度更快,SSL的实现更加优化,但它的成本仍然高于普通的HTTP。虽然对流量较小的小型网站不太关心,但如果您的网站突然变得流行,HTTPS可能会增加。
也许我们大多数人不使用HTTPS来服务我们网站的主要原因很简单,它不适用于虚拟主机。虚拟主机是最常见的廉价网络托管服务提供商提供的,允许网络主机从同一物理服务器服务多个网站 - 数百个网站都具有相同的IP地址。对于常规HTTP连接,它可以正常工作,但它根本不适用于HTTPS。
当然没有真正的理由让整个网络都无法使用HTTPS。虽然有一些实际的原因导致它今天还没有大规模普及,但最终这些障碍都会消失。宽带速度将得到改善,这将使缓存不是个问题,而且改进的服务器将进一步优化安全连接。
我会在这里发布所有与科技、科学有关的有趣文章,欢迎订阅我的头条号。偶尔也回答有趣的问题,有问题可随时在评论区回复和讨论。
杨沐白
历史原因啊。
先简单的说,看明白的就直接点赞去吧。
HTTPS:// 的Https的意思是 HTTP SSL(Secure Sockets Layer,安全套接字层),是为了提高HTTP协议的安全性由网景公司发起的一个扩展。
主要是因为HTTP协议是明文协议可以被嗅探器抓包捕获,因此在传输过程中不安全采取的一个加密措施。
后来也加入了特定的服务器证书用来区别服务器身份,验证服务器是不是假冒的。
对于配置来说,所有的WEB服务器基本上都支持SSL,但所有的服务器默认状态是用HTTP协议进行信息发布和处理的,因此默认的东西往往就使用的多了一些。
并且由于Https服务需要对服务器进行配置,并且需要特定的服务器证书,那么在服务器管理员设置的时候往往就需要增加不必要的成本导致整个项目成本的增加。因此在大多数情况下Https并不是首选项。
但自从google 的 Chrome浏览器最近将所有的Http协议站点标记为不安全站点今后使用Https的站点恐怕会多起来。
当然,很多情况下Chrome 还是会报告类似的问题的:
这就需要网络的使用者自行判断到底是不是安全了。大多数情况下看到❗️的标记需要注意一下,并且采用适当的处理方法进行处理。但如果仅仅是Http协议的警告目前没太大的问题,顶多是发出和浏览的信息会被他人截获、有可能被钓鱼网站钓鱼而已。
军武数据库
首先,我觉得小编应该问的是那为什么不大量使用https?
第一,国内其实对https和SSL 证书的认知和普及还不是很多。最熟悉这些的莫过于技术人员。但普通小公司的网管未必会觉得https是有多重要,会认为http与https就差一个s,却不知道这个差别有多大。这一点我认为是为什么不大量使用最重要的原因。没到出事的时候绝对不会认为这事有多重要的。就像很多人看到普吉岛沉船逝去那么多的同胞,大家才会想起出海乘船一定得穿救身衣,救身衣是怎样穿戴?才会有这样的意识。这是其一;第二,大家对使用https时造成网站访问速度较慢也造成一部分公司不愿意使用。但却不知道其实品牌的选择是很重要的,大品牌网站的技术人员会对所有品牌在访问速度和影响进行测试,从而选择最合适他们的证书品牌。像淘宝和百度现在均使用GlobalSign品牌的OV通配符证书。当然,就像萝卜白菜各有所爱,大家可以根据自身网站的属性及购买能力去选择证书品牌。第三,现在市面上有很多免费的DV SSL证书申请,有些一年有些三个月,明白人会知道这是噱头,但真正懂得SSL证书的人是不会申请免费SSL证书。免费证书不会有相对应的服务。同样,也是普及问题,DV 证书只是适合于个人网站,不适合于企事业单位、政府部门及金融类等企业。所以DV证书适用范围其实是小之又小;免费自有它的道理,但不要把网站安全加在免费身上,世上没有免费的午餐;第四,google 的 Chrome浏览器最近将所有的Http协议站点标记为不安全站点。会引起一部分人重视使用SSL证书。但为什么Chorme浏览器会这样做呢?SSL证书的使用还有一个特点就是防止钓鱼网站及防数据的篡改。同时维护和提升了企业的形象。第五,目前SSL证书品牌有很多,价格各异。大家感知最贵的是OV通配符证书。但却不知道他是最适合公司使用,它保护主域名下面所有子域名。同时SSL证书是由CA机构颁发的,每年均需权威的审核部门进行审计,其中花费的人力物力钱力可比大家所看到的一张证书的价格贵得多。购买证书不单是钱的问题,还涉及到审核。越是等级越高的证书,其审核就越复杂。所以不要片面的用钱来表达。
刚才上面说了一个问题,就是怎么知道自己的企业适合哪种类型的SSL证书?下面给大家普及下相关的知识。
这张表集齐所有SSL证书的特点。有些人误区就是在于怎样选择?可以参考表中一般用途的内容。参考内容可查看https://www.kingnettech.com/sslzs/
如果大家对SSL证书有任何疑惑或分享,可随时与我们沟通。金网科技隶属于与河南省信息化发展有限公司(以下简称信安CA)。是一家拥有1000万元注册资金,集产、学、研为一体的高新技术企业,致力于信息安全、电子政务、电子商务、公共服务等领域的信息化项目建设、咨询服务、产品研发、市场推广及运营。将致力于打造真正属于您的安全建设,用专业为客户提供信息安全综合服务。实现合作共赢,资源共享,创新财富,服务社会。
广东金网科技
你问的问题应该是 为什么不大量使用https?
所谓https就是http+ssl,这是一种提高网络安全的手段。
https与http的现状
我认为实际情况与你说的相反,大的门户网站从几年前就开始慢慢全站https,现在不采取https协议的只是少数,小型网站可能会更多的采用http协议,为什么呢?
一个网站添加https协议不是你想添加就添加的,需要有CA证书,在很多云计算平台都有出售,当然有免费的,比如阿里云会为每个账户提供几个免费的CA证书,有效期一年,既然是免费的证书,那么他只能为一个域名添加https,不能为所有的二级域名三级域名等添加https。
购买证书也是按年付费,最便宜的专业版式4000元每年,如果是通配子域名则是15000一年,一个小网站,本身没什么太多有价值的东西,一个服务器一年至少六七百,如果没有收入,谁会闲得去花钱购买专业版https。
https的优缺点
一切都是平衡的,肯定有利还有弊。虽然HTTPS在保护用户隐私,防止流量劫持方面发挥着非常关键的作用,但是他也存在不足:
1.HTTPS也会降低用户访问速度,现在的人们对于网络的要求非常高,访问速度太慢容易导致流量的流失,大厂有能力去做性能优化。
2.增加网站服务器的计算资源消耗,这绝对要求配置好的服务器,并且你一个高访问的量的网站,肯定不能由一台1核1G内存的服务器去支撑。
我想你可以看到百度、淘宝、今日头条、腾讯这些的网站都采用的https,这对于信息安全大有帮助。
我是萌新程序猿,科技圈的事情欢迎邀请我来回答!
码了这么多字,点个赞关注下再走吧!!!
关注萌新程序猿(本人咯),了解更多IT以及程序猿的知识!!
萌新程序猿
谢,我不是专业网络人士,但接触电脑也二十多年了,孬好也了解一些网络知识,只能稍微说一下自己的看法,虽然https比http从字面上仅仅多了个s,但其对网络的传输安全不可同日而语,现在很多学破解的最基本的技能是学会抓包分析,通过传输内容去篡改验证、注册、会员信息,达到自己的目的,所以更
安全的数据传输https应用而生。既然是安全的传输,为什么大家都不用呢,关键原因是费用,采用https的服务器必须CA
(Certificate Authority)申请一个用于证明服务器
用途类型的证书。该证书是要钱的!一年五万以上肯定少不了的吧?其次,服务器上的软件、数据库等必须更换对加密算法
的支持,费时费力费钱。所以对于不太重要的网站,大家也就算了。只有那些金融、支付、大型网站,对传输要求重要的才会有使用。不过,随着时代的发展,费用也越来越低,甚至免费的也非常安全,使用https的也是大势所趋。欢迎专业人士也解答这个问题。
牛走偏门不一样
主要原因:1. 要花钱!
https 需要一个认证证书。这个证书对于商业应用不是免费的。只要少数几个公司能提供认证。 必须掏钱买,而且还不是一次性买断的。对于小公司,和个人网站,掏钱是很不划算的。而且大多数公司并不需要这样子的安全措施。http足够用了。
2.麻烦。 http可以直接部署,但是https 不行,https 的部署要麻烦许多。一般个人网站是没有这个精力搞这个的。当然,现在云计算可以简便很多,但是依然比http 麻烦。
3. 受控于人。 12306 使用的是https ,但是是自己给自己颁发的。世界上能颁发https 根证书的机构就那么几个。就像谷歌突然废除了赛门铁克的HTTPS 根证书认证。 你使用HTTPS 证书认证,保不齐哪天就被谷歌或者认证机构给废了。那你的网站就成了“非法”的了。这就会让你在网络上受制于人。
题外话: 为什么谷歌在激进推进HTTPS ,一个很重要的原因就是因为他可以掌控入口。
潮涌钱塘
首先免费证书服务商Let's Encrypt CA 已宣布支持 ACME v2 和通配符证书,这意味着不象过去免费证书只支持一个域名,不支持子域名,而是真正全站证书。
前面有人说通配符商业证书很贵,那是针对OV和EV证书而言,因为有人工审核的成本。阿里云等云服务商现在已经提供便宜的通配符DV证书,一年也就1000多块,足以满足90%以上的需求。Let's Encrypt CA也是提供的DV证书,这个DV和OV证书的差别只是证明证书的所有者是某个域名所有还是一个公司所有,并不影响不对称加密效果。基本上是个游戏装扮的差别,不差钱的大公司当然选OV或更贵的EV证书。
inetsurfer
一个SSL加密传输一个明文传输,https加密套协议的同时整加了网络响应速度证书验证和计算耗时等,可以说各有利弊 但总的来说当然https更好,能更好的防止运营商广告劫持………但,现在市面上免费的已经不支持iOS11以上了 要用用钱买咯……但像我们这种小小个人站长来说,是在耗费不起哦… 特别头疼的就是运营商广告,右下角一闪一闪 点我点我那个 每次看到都要砸手机!当然通过前端的方式能禁止点大部分。还有后台接口安全方面在SERVER层增加Host验证 接口数据类型验证 来源验证 非法字符过滤 再加层动态Token验证等 基本上后台安全也够了……其实一个网站安全系数安不安全不再有没有用https而在于程序怎么防御。黑客铁了心要攻击你的网站 一定能有其他办法 通过系统层攻击服务器也不是不可能。。
hello握得
1.https配置比较麻烦,要先申请证书,不同的网站程序有不同的配置方式。
2.https高级版本要收费,一年最低6000块,当然也有免费的安全方式低些。
3.https总体访问速度比http低,https要经过外网验证,速度会慢些。
女神谱
第一,证书要收费,当然现在也有免费的了,但仅限于dv证书,ov我是没见过免费的,ev就更不用说了。
第二,https对服务器的cpu压力比http要高得多的多,除非你用专门的加速设备。
第三,cdn这块不太好处理。
我了解的就这几点了。
