https比http更安全嗎?為什麼大多數網站還是使用http?
百度在 2015 年 4 月前後剛開始支持檢索 HTTPS 網站,所以在這之前,國內網站是既不敢也不能全面使用 HTTPS 的,而如果同時支持 HTTPS 和 HTTP,額外的運維、計算和證書購買成本根本沒有辦法帶來足夠的好處。
Google 在 2014 年已經把 HTTPS 作為網站打分的加分項了。翻了過去十幾年的網頁,根本找不到「Google 開始爬取 HTTPS 網站」的新聞…HTTPS Everywhere!
△圖片來源於互聯網
HTTP 協議無法加密數據,所有通信數據都在網路中明文「裸奔」,這是導致數據泄露、數據篡改、流量劫持、釣魚攻擊等安全問題的重要原因。而 HTTPS 是用來解決 HTTP 明文協議的缺陷,在 HTTP 的基礎上加入 SSL/TLS 協議,依靠 SSL 證書來驗證伺服器的身份,為客戶端和伺服器端之間建立「SSL」通道,確保數據運輸安全。
其實光有 HTTPS 還不夠,全站 HTTPS 才是重中之重。
參考閱讀:為什麼非全站升級 HTTPS 不可?
就如問題中所說的,HTTPS 那麼好,安全也那麼重要,為什麼大多數網站還是使用 HTTP?
原因有三:
- SSL 證書費用:不少用戶覺得開啟 HTTPS 要申購 SSL 證書,每年要在證書上花費不菲的費用。
- HTTPS 連接伺服器端資源佔用高
- HTTPS 協議握手費時:多幾次握手,網路耗時變長,用戶從 HTTP 跳轉到 HTTPS 還要一點時間。
其實上述的幾個問題都不存在,或者說可以通過優化來解決這些問題。
SSL 證書費用
現在市面上已經有不少雲廠商提供免費 SSL 證書申請,像我們又拍雲提供 Let』s Encrypt 和Symantec 的兩款免費證書。
詳見如何一鍵申請又拍雲 Let』s Encrypt,Symantec 免費證書並升級 HTTPS
伺服器資源消耗
這裡的消耗主要來自於握手時候的消耗,建好連接之後就不太耗了。那麼採用 HTTPS 後,到底會多用多少伺服器資源?
2010年1月 Gmail切換到完全使用 https, 前端處理 SSL 機器的CPU 負荷增加不超過1%,每個連接的內存消耗少於20KB,網路流量增加少於2%。由於 Gmail 應該是使用N台伺服器分散式處理,所以CPU 負荷的數據並不具有太多的參考意義,每個連接內存消耗和網路流量數據有參考意義。這篇文章中還列出了單核每秒大概處理1500次握手(針對1024-bit 的 RSA),這個數據很有參考意義,具體信息來源的英文網址:ImperialViolet。
訪問速度
繁重的計算和多次交互天然的影響了 HTTPS 的訪問速度。如果什麼優化都不做,HTTPS 會明顯慢很多。如果做過常規優化,但是不針對 HTTPS 做優化,這種情況下測試的結果是 0.2-0.4 秒耗時的增加。如果是沒有優化過的站點,慢 1 秒都不是夢。
所以,不是慢,是沒有優化。
對優化這塊有興趣的可以看下,詳解又拍雲 CDN 全站 HTTPS 訪問優化。
https = http和SSL/TLS組隊。
SSL/TLS提供了身份驗證、加密和簽名等安全措施來保護用戶和伺服器之間的數據傳輸,但是,這些都是需要成本的,比如網站需要額外購買SSL/TLS數字證書。另外,加解密數據也需要額外的計算開銷,也就是可能需要更好的伺服器來保證訪問速度。
因為https需要花錢買證書 大部分都不喜歡額外的開銷,因為他們不在意也不需要……
https將是未來所有網站的趨勢,國外的網路安全就做得很好,基本是實現全站https,在國內,基本有些名氣的網站也都有使用https,特別的電商、銀行、金融等,有登錄頁面、支付頁面的必須要做到https.
另外還要引起重視的有郵件系統,VPN系統等,涉及到公司機密的,比如華為伺服器被黑,
由於各種伺服器、網路設備和各種軟體都是美國產的,誰都是防不勝防。而有些專家稱必須所有設備和系統都要國產化,但這在短期內(至少10年內)是做不到的!怎麼辦呢?—-唯一的解決方案只有加密所有通信!伺服器部署SSL證書實現數據鏈路加密、所有電子郵件都加密發送!華為的內部電子郵件如果都是加密的,那國安局偷走了沒有用!
https還是應該被重視起來的!
不要把數據安全都歸結為被黑,這種理解很業餘。數據安全分為數據泄露和數據被篡改,就好像一個密碼箱,如果密碼箱被人拿到,打不開,被人砸爛了,但是裡面的寶貝也會壞了,這種就是經常說的被黑,但是數據並未泄露,真正可怕的是密碼被破解,裡面的寶貝被別人拿走,或者被別人替換了,http如果不做簽名,是很容易泄密和被篡改的,https則可以防止泄密和篡改,因為只有客戶端和伺服器端知道怎麼解密。相信各位都有這樣的經歷,就是自己搜索過的關鍵詞,在其他網站廣告中出現,如果用https,除非網站之間有合作,否則是拿不到的。
為什麼更安全的 HTTPS 協議沒有在互聯網上全面採用? - 信息安全學會搜索,還有旁邊的推薦。
安全從來都是個玩平衡的東西,黑客真盯上你,怎麼著都能黑掉。美國的FBI和五角大樓都被黑過,何況你乎?那麼我們要做的是什麼?讓黑客覺得黑你不值當,僅此而已。換到本問題,其實很多安全性要求高的,比如各個涉及到支付或者銀行卡的網站都是使用的https。但是你說你看個新聞啥的,需要s嗎?沒需求。
推薦閱讀:
※為什麼 12306 不買 https 證書?
※客戶端通信如何加密並且防抓包?
※不用 https 自己實現對 http請求的內容的 rsa 加密,這樣足夠安全嗎?
※HTTPS應用在什麼場景?
※為什麼 2015 年底各大網站都紛紛用起了 HTTPS?