如今,https协议已经被广泛重视和使用。随着2018年2月初,谷歌旗下的Chrome浏览器宣布将所有“http”标示为不安全网站之后,许多网站都争相从“http”升级到了“https”。
当你上网打开网站时,会发现浏览器左上角地址栏那里,有一把绿色的小锁标志,这把小锁标志就表示该网站已经启用了https加密保护。
之所以会实现https加密保护,主要是因为该网站使用了SSL证书。现在很多网站都会使用SSL证书,对网站数据进行加密传输,尤其是银行、金融、电商类的网站。很多人对于https的理解都存在着不少误区,比如“https会让网站访问速度变慢、消耗服务器资源、增加网站成本”等等。为了能让大家对https有一个更为清晰正确的认识,今天我们就来谈谈五个关于https的认知误区。
误区1:https会拖慢网站的访问速度?
很多用户比较担心的是,https会降低网站的访问速度。幸运的是,网站使用https协议,虽然比http协议多出了SSL证书的握手验证环节,但这个SSL证书握手环节,一般不会超过100毫秒(ms),也就是说不到0.1秒(s)。只要做好https的性能优化,https并不会拖慢网站的访问速度。
误区2:https会大幅增加硬件配置成本?
为了实现https,升级CPU、购买服务器的方法已经成为历史。可能会有一些个人或者中小型网站,使用的是虚拟主机,在这样的共享服务器空间上面,如果想要安装和配置SSL证书,就需要服务器提供支持。但就目前而言,大部分虚拟主机都已经支持配置SSL证书,随着硬件性能的突飞猛进,https施加在硬件之上的运算压力已经越来越小,再加上合理的优化和部署,硬件成本增加几乎可以忽略不计。
误区3:只有数据敏感的网站才需要使用https?
、
人们对“银行、金融、电商”等数据敏感类型的网站,必须启用https已经达成共识,但其他类型的网站,是否有这个必要呢?小编和很多专业安全工程师都一致认为,很有必要。因为https有助于保护用户的隐私,它将让网站的全部内容都纳入https的保护。Google Chrome、火狐等浏览器,已经开始对非https网站和页面进行警告,谷歌、百度两大搜索引擎平台,也都给予了https网站和页面更高的搜索权重。因此无论是从安全,还是发展的角度来讲,使用https对各种类型的网站都非常有必要。
误区4:SSL证书可以随意申请?
有些人看到网上有免费的SSL证书,就认为申请SSL证书很容易。其实,容易申请的SSL证书,都是便宜或者免费的,而高级型或者增强型的SSL证书,并不是掏钱就一定能申请到。
SSL证书根据可信强度,大概可以分为:域名型证书( DV SSL )、企业型证书( OV SSL )、增强型证书( EV SSL )三种。
免费、便宜的SSL证书,都是最低级别的DV SSL证书,对于高级的OV SSL和EV SSL证书来说,需要提交真实可靠的资料(如:企业营业执照、组织机构代码等),并且需要经过CA(数字证书权威颁发机构)人工审核通过后才可以颁发,很多企业因为提交的资料不齐全或不真实,因而导致证书申请失败。
误区5:有了https,网站就百分之百安全了?
有了https,就能绝对保证网站的安全,这是“https万能论”。部分企业也用https宣传自己的网站足够安全。但实际上,https利用SSL证书,主要是为了满足网络通信“数据传输加密”和“服务器身份验证”这两个安全需求,即“防窃取、防篡改、防钓鱼”,至于其他别的安全需求,还暂时满足不了。诸多的网站安全问题,也不可能仅靠一张SSL证书,就能全部解决。但“数据传输加密”和“服务器身份验证”是网站安全的基础,如果连基础问题都解决不好,那么网站安全就是空谈。因此,对于网站安全来说,https不是万能的,但没有https是万万不能的。
在网络攻击、安全事件频发的时代,部署https已经是不可逆的趋势。亿速云,作为一家拥有丰富行业积淀的专业IDC服务提供商、专业云计算服务提供商,出售“Symantec、Thawte、Rapid SSL、Geo Trust”等多家全球权威CA机构的SSL数字证书,提供多品牌、多类型的SSL证书购买和申请,既有适合“个人、初创企业和小微型企业网站的DV SSL证书”,也有适用于“中小型企业官网的OV SSL证书”,同时还有可以匹配“大中型企业官网和银行、金融、电商类型网站的EV SSL证书”可供选择。高级安全工程师全程专业技术指导,并免费帮助用户安装和配置。
计算
安全
数据库
网络和加速
企业服务
