如何評價國內網路服務不使用https的情況?
http://mail.163.com
http://www.baidu.comhttp://www.zhihu.comhttp://weibo.com
反觀一些同類的網站https://mail.google.comhttps//http://www.tumblr.comhttps://www.yahoo.com
就說知乎好了,動不動503,你還要他上https,到最後就會變成偶爾不503了
用戶無需求,網站能省幹嘛不省。
我最奇怪的就是知乎明明有SSL證書,但就是不用HTTPS(HTTPS會重定向到HTTP),這點完全無法接受。對於不使用HTTPS的網站,本人強烈呼籲儘快支持HTTPS。在2014年需要登錄的網站都不用HTTPS是說不過去的,即使是沒有敏感信息的網站也應該盡量支持HTTPS。錢我想對於百度、網易、新浪這一類的大公司絕不是問題吧。另外網銀、網購網站一定要從首頁開始全程開啟HTTPS,以避免中間人篡改頁面上的鏈接或惡意重定向。
另外一個國內支持HTTPS不好的原因我想是搜索引擎對HTTPS的不支持,https://zhanzhang.baidu.com/wiki/321 中說「百度搜索引擎目前不主動抓取https網頁,導致大部分https網頁無法收錄」,這點簡直忍無可忍。
還有就是要部署SSL,就必須頁面上的所有資源(腳本、CSS、圖片等)都用HTTPS傳輸,否則瀏覽器會屏蔽或提示不安全內容。但是有些引自第三方的資源不支持HTTPS,比如百度地圖API。
原因三是好多人對HTTPS誤解太深,HTTPS無需獨立IP(伺服器名稱指示,SNI),@潑墨 說的「只能默認裝在一個ip上對應一個域名"不對(SubjectAltName)。HTTPS也可以緩存。HTTPS沒那麼慢。
另外部署了SSL的網站也分三六九等。我推薦個國外網站,Qualys SSL Labs,是測試公共網站部署SSL好壞的。不是所有支持SSL的網站都同樣的安全,比如說login.360.cn就不那麼安全: Qualys SSL Labs。好的SSL部署應該是支持完全正向保密(Perfect Forward Secrecy,PFS)的,應該支持最新版TLS(目前是TLS 1.2),且不應該支持SSL2、RC4。
這次決定不腦殘的給 @vczh點贊了。
據說!是因為方便監控。
按照目前網路安全發展趨勢,以後網站都會https的
習大都說了「沒有網路安全,就沒有國家安全」,網路安全還是很受關注的
成本高,換來的效果僅僅是普通頁面加密,而國內目前的大環境下這些普通頁面似乎都沒有太重視,還會拖慢速度,所以很多公司也就不想自己標新立異來做全站HTTPS了。到了一定的時候估計會有一個巨頭站出來呼籲業界使用全站HTTPS,我記得前幾年google就大力呼籲全站HTTPS來著?
我最近把我的四個網站都部署SSL了!目前搜索引擎的支持,谷歌和百度基本上都很完善了,特別是百度最近對HTTPS的支持和收錄響應速度都有很大的提升的!所以,我感覺HTTPS的普及即將到來!早上還是比晚上要好的!
玉滿齋 - 玉的文化/玉的故事/玉的歷史
明月登樓的博客 - 草根站長學習、交流、分享!
這是我兩個站最近才啟用SSL的!用的是Let"s Encrypt免費證書!
https了 那big brother怎麼看你啊, 你懂的。
https需要獨立的ip地址,因為無論是免費的Startssl證書還是多貴的ssl證書,都只能默認裝在一個ip上對應一個域名,也就是說,你不能用共享的ip創建一個安全的,受信任的https站點
因為他們知道,用和不用都一樣 。要想看你的郵件,跟不需要這麼麻煩 的。
推薦閱讀:
※如果美國斷開對中國的根伺服器會怎麼樣?
※如果家庭寬頻只能分配內網 ip,會有什麼影響?
※如果網頁中的腳本能夠獲取到本地文件的完整路徑,會有何安全問題?
※學習 Web 安全之前一定要精通 Web 開發嗎?
※WEB安全,應該從哪種語言開始入門?