去年开始 HTTPS 协议被广泛重视和使用,许多的中小型网站也都争先从 HTTP 升级到了 HTTPS,而在这其中就有人开始针对网站安装 SSL 证书后的网站各种研究,总要去找出一点区别,或者说是非升级不可的理由似的,于是网上就出现了 HTTPS 将会让网站访问速度变慢,消耗服务器资源或增加网站成本的话题也就开始冒出来,那么今天子凡就和大家来谈谈网站安装 SSL 证书升级到 HTTPS 协议后的认知误区。

SSL

HTTPS 会影响网站访问速度?

从技术层面来说,网站使用 HTTPS 协议比 HTTP 协议多出了 SSL 证书的握手验证环节,所以就会导致网站的访问速度变慢,那么在深度的了解就知道,这个 SSL 证书握手环节一般不会超过一百毫秒的时间,也就是说不到 0.1 秒,所以这个在我们实际访问站点是很难被明显的察觉到,所以是可以忽略这个访问速度的影响问题。

从网上一些人的测试来看,SSL 握手的耗时(64 毫秒)大概是 TCP 握手(22 毫秒)的三倍。也就是说,在建立连接的阶段,HTTPs 链接比 HTTP 链接要长 3 倍的时间,具体数字取决于 CPU 的快慢和网络状况。所以,如果是对安全性要求不高的场合,为了提高网页性能,建议不要采用保密强度很高的数字证书。一般场合下,1024 位的证书已经足够了,2048 位和 4096 位的证书将进一步延长 SSL 握手的耗时。

关于 HTTP 和 HTTPS 的区别可以查阅子凡前面的文章“浅谈 HTTPS 协议和 SSL、TLS 之间的区别与关系”,我就不在这里展开赘述了。

HTTPS 会大幅增加硬件成本?

其实这个也未免有些大惊小怪了,子凡身边的一些朋友的服务器也都是 1 核 1G1M 的配置,而我们泪雪旗下的几个站点都使用的一台为 1 核 2G 的云服务器配置,全部安装 SSL 证书后使用的 HTTPS 协议,每天的流量也都是上万,这似乎并不会有明显的影响或者说是增加硬件成本。

当然可能还有一些个人或者中小网站使用的是虚拟主机,在这样的共享服务器空间上面,如果要想安装 SSL 证书就需要服务器提供支持,就目前而言我们泪雪互联提供的虚拟主机也都已经支持配置 SSL,由于技术配置的原因会收费 30 元每年,所以也并不会大幅的增加服务器硬件成本,几乎可以忽略不计吧。

涉及资金或交易的网站才需要配置 HTTPS?

首先子凡想说这真的是一个天大的误区,其最初 HTTPS 被广泛使用于资金或交易类的站点,所以不少用户认为,通常只有银行、电商、金融等等网站必须启用 HTTPS,因为这些网站跟资金密切相关,而其他类型网站则没有必要使用 HTTPS。

HTTPS 有助于保护用户隐私和确保内容的真实性,可以有效的防止一些网站被劫持或恶意广告的出现,而且子凡不知道大家经常使用的是什么浏览器,是否有使用谷歌浏览器或者谷歌 chrome 内核的浏览器,最新版本的 Chrome 浏览器已经开始将传统的 http 协议网站标记为不安全,这也就意味着互联网发展的趋势。

SSL 证书很昂贵?

一个东西一旦涉及到费用,可能大多数站长会像子凡曾经那样可以选择放弃,但是我们要知道,目前市面上有服务商提供免费的 SSL 证书申请,而且子凡也曾整理过一份“免费 SSL 证书大全”,大家不妨可以看看。

当然 SSSL 数字证书根据可信强度,大概可以分为:域名型 SSL 证书(DV SSL)、企业型 SSL 证书(OV SSL)、增强型 SSL 证书(EV SSL)这三种。我们所说的免费 SSL 证书都是最低级别的 DV SSL 证书,对于普通的个人网站、中小企业官网来说是可以满足需求的,从而也不用担心贵这个问题。

相反对于收费的企业型 SSL 和增强型 SSL 证书,确实就挺贵的了,这些一般都是大中型网站和企业的选择,并且子凡相信这些企业有这样的需求,对于 SSL 证书的投入也不会犹豫,而且在众多 SSL 证书提供商中,用户可以通过使用服务商推出的促销活动来减少使用 SSL 证书的成本。

安装 SSL 证书,使用 HTTPS 后,网站就 100%安全?

我们要知道网站安全就和网络安全一样,既然暴露在网络中,就不可能存在 100%这个安全说法,我们更需要知道 HTTPS 是利用 SSL 证书满足网络通讯传输加密和服务器身份验证这两个安全需求,即防窃取、防篡改、防钓鱼,例如你服务器漏洞或者程序 bug 这个肯定是保证不了的,网站也并非是靠一个 SSL 证书就能安全。但传输加密和身份验证是网站安全的基础,基础都打不好,安全就是空谈。

简单总结

其实对于 SSL 证书可能还会有使用或者兼容的误区,但是子凡觉得也都不那么重要,对于我们一般人说使用的免费证书都是绑定了对应的域名的,不能任意的使用,至于 SSL 证书与浏览器或者移动设备不兼容的问题,是服务器需要解决的问题,并且目前市面上知名的 SSL 证书机构提供的证书在兼容性这方面是不用担心的,Let's Encrypt 的虽然免费,但是兼容性也绝对不差的。

那么对于 SSL 证书或者说是对网站 HTTPS 协议部署到底是误区还是小题大作并不重要,因为对于网站安全来说,HTTPS 即使不是万能而且还可能收费,但没有 HTTPS 却似乎万万不能,这就是传说中的大势所趋了吧!

除非注明,否则均为泪雪博客原创文章,转载请以链接形式标明本文地址

本文链接:https://zhangzifan.com/know-the-ssl.html

发表评论

  1. 鸟叔
    1楼
    鸟叔 1个月前 (03-18)

    我在想任何站都可以申请ssl,谈何安全,鸟叔也是赶时髦所有加了个https,的确让网站打开速度有影响。

  2. 大事记
    2楼
    大事记 1个月前 (03-17)

    HTTPS能防止劫持,其它的我倒不怎么在乎。