立正！关于SSL证书和https的七大误区！

随着Chrome和Firefox等浏览器警告非HTTPS页面以及出于安全考虑，越来越多的网站正在安装SSL证书，并将网络传输协议从HTTP升级到HTTPS。然而，人们对HTTPS和SSL证书的功能、用途和性能仍有许多误解。只有走出这些误区，HTTPS和SSL证书才能更好地应用于网络安全策略，最大限度地发挥作用。

误区一:HTTPS会明显减慢网站访问速度。从理论上讲，可以说HTTPS的ssl握手链接比HTTP多。但是，这个环节花费的时间一般只有几百毫秒。要知道100毫秒相当于0.1秒，所以我们很难察觉到速度的变化。通常情况下，百度、淘宝等网站都实现了HTTPS，但访问速度并没有下降。然而，有时HTTPS比HTTP稍快，这通常发生在一些大公司的内部局域网中。因为通常情况下，公司的网关会拦截并分析所有的网络通信。但是当它遇到HTTPS连接时，它只能被直接释放，因为HTTPS是加密的，无法被解读。因为少了这个解读过程，HTTPS会更快。

误解2: HTTPS将大大增加硬件成本。升级CPU，购买更多服务器实现HTTPS已经成为历史。随着硬件性能的快速发展，HTTPS对硬件施加的计算压力已经越来越小，加上合理的优化和部署，硬件成本的增加几乎可以忽略不计。

误区三:只有涉及资金的网站才需要HTTPS。人们已经达成共识，银行、电子商务和金融等网站必须启用HTTPS，但其他类型的网站有必要吗？《纽约时报》认为这是必要的，因为HTTPS有助于保护读者的隐私，确保内容的真实性。它说网站的所有内容都将受到HTTPS的保护。别忘了，Chrome和Firefox已经开始警告非HTTPS页面，谷歌和百度都给予HTTPS页面更高的搜索权重。因此，无论从安全还是发展的角度来看，HTTPS对于各类网站来说都是非常必要的。

误区4:在登录页面部署HTTPS可以防止密码被拦截，但是其他页面就不需要了。但这种想法是危险的，因为如果只有登录页面使用HTTPS，登录后，其他页面就会变成HTTP。此时，页面缓存数据就暴露出来了。换句话说，这些缓存数据是在HTTPS环境中建立的，但在HTTP环境中传输。如果有人劫持了这些缓存数据，密码很可能被窃取。正是因为这个原因，许多网站已经从一个单一的登录页面HTTPS升级为一个完整的网站HTTPS。

误区五:SSL证书很贵。既然HTTPS必不可少，我们就申请一个，但是SSL证书是收费的，好像不便宜吧？首先，SSL证书的价格在网络安全产品中比较亲民；其次，货比三家或者多关注CA机构的推广活动，有助于申请到物美价廉的证书；最后，SSL证书在保护数据和用户安全方面的价值远远超过其价格。

误区六:SSL证书可以随意申请。嗯，我愿意付钱。请让CA马上给我发一个。抱歉，SSL证书无法通过付费获得。您需要提交真实可靠的资料(如营业执照、组织机构代码证等)，经过CA的人工审批后才能发放。如果是EV SSL证书，律师函会在此基础上进行审核。这样做的原因是CA应该确保SSL证书由合法机构使用，并防止证书被颁发给非法人员并被使用。

误解7:拥有一个HTTPS网站是完全安全的。这可以称之为“HTTPS万能论”，一些企业也用HTTPS来宣传自己的网站足够安全。但实际上，HTTPS使用SSL证书来满足网络通信传输加密和服务器认证两大安全需求，即防盗、防篡改和防钓鱼，其他安全需求无法满足。很多网站安全问题并不是仅靠一张SSL证书就能解决的。但是传输加密和认证是网站安全的基础，基础不好，安全就是空谈。所以请记住这句话——对于网络安全来说，HTTPS不是一切，但没有HTTPS是绝对不行的！

这几篇文章你可能也喜欢：

• 暂无相关推荐文章

本文由主机参考刊发，转载请注明：立正！关于SSL证书和https的七大误区！ https://zhujicankao.com/95709.html