為什麼更安全的 HTTPS 協議沒有在互聯網上全面採用?
- SSL 證書需要錢。功能越強大的證書費用越高。個人網站、小網站沒有必要一般不會用。
- SSL 證書通常需要綁定 IP,不能在同一 IP 上綁定多個域名。IPv4 資源不可能支撐這個消耗。( SSL 有擴展可以部分解決這個問題,但是比較麻煩,而且要求瀏覽器、操作系統支持。Windows XP 就不支持這個擴展,考慮到 XP 的裝機量,這個特性幾乎沒用。)
- HTTPS 連接緩存不如 HTTP 高效,大流量網站如非必要也不會採用。流量成本太高。
- HTTPS 連接伺服器端資源佔用高很多,支持訪客稍多的網站需要投入更大的成本。如果全部採用 HTTPS,基於大部分計算資源閑置的假設的 VPS 的平均成本會上去。
- HTTPS 協議握手階段比較費時,對網站的相應速度有負面影響。如非必要,沒有理由犧牲用戶體驗。
- 最關鍵的,SSL 證書的信用鏈體系並不安全。特別是在某些國家(咳咳,你們懂的)可以控制 CA 根證書的情況下,中間人攻擊一樣可行。
另外,在客戶端被植入無數後門、木馬的狀況下,HTTPS 連接的作用非常有限。這也許是支付寶不可能像 PayPal 那麼易用的原因之一。
1.要錢
2.要資源
3.有些人認為網上的信息是沒有邊界的,但上網的人是有祖國的,而他們說他們是代表祖國的,於是你幹什麼他們有權知道。
連線:HTTPS更安全,那互聯網為什麼不用呢?
http://dongxi.net/b04Yg
Stackoverflow 的創始人有個很好的答案。Stackoverflow.com: the road to SSL ? Nick Craver
對於大型網站來說,換成SSL要保證跟你合作的所有服務都支持SSL。伺服器設置也會更麻煩
HTTPS 要比 HTTP 多用多少伺服器資源?
一些國際網站,比如維基百科,在啟用https前先會考慮自己計算能力是否可以承載https。請問,https要比http多用多少伺服器資源?
作者:牟旭東
鏈接:https://www.zhihu.com/question/21518760/answer/19698894
來源:知乎
著作權歸作者所有。商業轉載請聯繫作者獲得授權,非商業轉載請註明出處。
下面開始講一個無聊的故事,和問題關係不大,時間緊張的看官可以到此為止了。
從前山上有座廟,廟裡有個和尚......,別胡鬧了,老和尚來了。
小和尚問老和尚:ssl為什麼會讓http安全?
老和尚答道:譬如你我都有一個同樣的密碼,我發信給你時用這個密碼加密,你收到我發的信,用這個密碼解密,就能知道我信的內容,其他的閑雜人等,就算偷偷拿到了信,由於不知道這個密碼,也只能望信興嘆,這個密碼就叫做對稱密碼。ssl使用對稱密碼對http內容進行加解密,所以讓http安全了,常用的加解密演算法主要有3DES和AES等。
小和尚摸摸腦袋問老和尚:師傅,如果我們兩人選擇「和尚」作為密碼,再創造一個和尚演算法,我們倆之間的通信不就高枕無憂了?
老和尚當頭給了小和尚一戒尺:那我要給山下的小花寫情書,還得用「和尚」這個密碼不成?想了想又給了小和尚一戒尺:雖然我們是和尚,不是碼農,也不能自己造輪子,當初一堆牛人碼農造出了Wifi的安全演算法WEP,後來發現是一繡花枕頭,在安全界傳為笑談;況且小花只知道3DES和AES,哪知道和尚演算法?
小和尚問到:那師傅何解?
老和尚:我和小花只要知道每封信的密碼,就可以讀到對方加密的信件,關鍵是我們互相之間怎麼知道這個對稱密碼。你說,我要是將密碼寫封信給她,信被別人偷了,那大家不都知道我們的密碼了,也就能夠讀懂我們情書了。不過還是有解的,這裡我用到了江湖中秘傳的非對稱密碼。我現在手頭有兩個密碼,一個叫「公鑰」,一個叫「私鑰」,公鑰發布到了江湖上,好多人都知道,私鑰嘛,江湖上只有我一個人知道;這兩個密鑰有數學相關性,就是說用公鑰加密的信件,可以用私鑰解開,但是用公鑰卻解不開。公鑰小花是知道的,她每次給我寫信,都要我的公鑰加密她的對稱密碼,單獨寫一張密碼紙,然後用她的對稱密碼加密她的信件,這樣我用我的私鑰可以解出這個對稱密碼,再用這個對稱密碼來解密她的信件。
老和尚頓了頓:可惜她用的對稱密碼老是「和尚為什麼寫情書」這一類,所以我每次解開密碼紙時總是悵然若失,其實我鐘意的對稱密碼是諸如「風花」「雪月」什麼的,最頭痛的是,我還不得不用「和尚為什麼寫情書」這個密碼來加密我給小花回的情書,人世間最痛苦的事莫過於如此。可我哪裡知道,其實有人比我更痛苦。山下的張屠夫,暗戀小花很多年,看著我們鴻雁傳書,心中很不是滋味,主動毛遂自薦代替香客給我們送信。在他第一次給小花送信時,就給了小花他自己的公鑰,謊稱是我公鑰剛剛更新了,小花信以為真,之後的信件對稱密碼都用張屠夫的這個公鑰加密了,張屠夫拿到回信後,用他自己的私鑰解開了小花的對稱密碼,然後用這個對稱密碼,不僅能夠看到了小花信件的所有內容,還能使用這個密碼偽造小花給我寫信,同時還能用他的私鑰加密給小花的信件。漸漸我發現信件變味了,儘管心生疑惑,但是沒有確切的證據,一次我寫信問小花第一次使用的對稱密碼,回信中「和尚為什麼寫情書」赫然在列,於是我的疑惑稍稍減輕。直到有一次去拜會嵩山少林寺老方丈才頓悟,原來由於我的公鑰沒有火印,任何人都可以偽造一份公鑰宣稱是我的,這樣這個人即能讀到別人寫給我的信,也能偽造別人給我寫信,同樣也能讀到我的回信,也能偽造我給別人的回信,這種邪門武功江湖上稱之「Man-in-the-middle attack」。唯一的破解就是使用嵩山少林寺的火印,這個火印可有講究了,需要將我的公鑰及個人在江湖地位提交給18羅漢委員會,他們會根據我的這些信息使用委員會私鑰進行數字簽名,簽名的信息凸現在火印上,有火印的公鑰真實性在江湖上無人質疑,要知道18羅漢可是無人敢得罪的。
小和尚問:那然後呢?
老和尚:從嵩山少林寺回山上寺廟時,我將有火印的公鑰親自給小花送去,可是之後再也沒有收到小花的來信。過了一年才知道,其實小花還是給我寫過信的,當時信確實是用有火印的公鑰加密,張屠夫拿到信後,由於不知道我的私鑰,解不開小花的密碼信,所以一怒之下將信件全部燒毀了。也由於張屠夫無法知道小花的對稱密碼而無法回信,小花發出幾封信後石沉大海,也心生疑惑,到處打聽我的近況。這下張屠夫急了,他使用我發布的公鑰,仿照小花的語氣,給我發來一封信。拿到信時我就覺得奇怪,信紙上怎麼有一股豬油的味道,結尾竟然還關切的詢問我的私鑰。情知有詐,我思量無論如何要找到辦法讓我知道來的信是否真是小花所寫。後來竟然讓我想到了辦法....
老和尚摸著光頭說:這頭髮可不是白掉的,我托香客給小花帶話,我一切安好,希望她也擁有屬於自己的一段幸福,不對,是一對非對稱密鑰。小花委託小鎮美女協會給小花公鑰打上火印後,托香客給我送來,這樣小花在每次給我寫信時,都會在密碼紙上貼上一朵小牡丹,牡丹上寫上用她自己的私鑰加密過的給我的留言,這樣我收到自稱是小花的信後,我會先抽出密碼紙,取下小牡丹,使用小花的公鑰解密這段留言,如果解不出來,我會直接將整封信連同密碼紙一起扔掉,因為這封信一定不是小花寫的,如果能夠解出來,這封信才能確信來之於小花,我才仔細的解碼閱讀。
小和尚:難怪聽說張屠夫是被活活氣死的。您這情書整的,我頭都大了,我長大後,有想法直接扯著嗓子對山下喊,也省的這麼些麻煩。不過我倒是明白了樓上的話,ssl 握手階段,就是要解決什麼看火印,讀牡丹,解密碼紙,確實夠麻煩的,所以性能瓶頸在這裡,一旦雙方都知道了對稱密碼,之後就是行雲流水的解碼讀信階段了,相對輕鬆很多。
監管層監管需要. 用了定向屏蔽更困難了
說了那麼多,主要還是錢的問題。
安全是要用錢來買的。
其次才是功能性需求,比如防流量劫持,這也是為什麼最近國內的幾個大站都開始全局 https 的原因之一。
淘寶、天貓、百度現在都已全局 https ,而 Google 更是很早就全面轉向 https 了。
對於大流量的網站,也就是有錢才能玩得轉。
主要原因是http/2還沒有全面鋪開哈
內容,性能和投入
推薦閱讀: