首先我要宣告,SSL和HTTPS對網站是有很大好處的。對於SSL的好處,我在這篇文章:開啟SSL的好處:百度谷歌支援SSL收錄,並提升SSL站點排名做了一些描述。之所以關閉SSL是因為一些別的原因。
通過對SSL一段時間的使用,藉此文章對SSL做一個客觀、獨立、第三方的評價。
工具/原料
電腦
你的網站
方法/步驟
什麼是SSL
SSL是Security Socket Layer的縮寫,技術上稱為安全套接字,可以簡稱為加密通訊協議,使用SSL可以對通訊內容進行高強度的加密,以防止黑客監聽您的通訊內容甚至是使用者密碼。
谷歌對SSL加密的描述
谷歌:與不加密的網路連線相比,使用 SSL 技術可提供更高的隱私性和安全性。它可降低資訊被第三方攔截或濫用的風險。許多網站訪問者在得知自己正在使用 SSL 連線後會更願意提供付款資訊以及其他個人資訊。
實際上,谷歌對SSL的支援是顯而易見的。就按照遠方的海自己的例子,加上了SSL之後,谷歌的訪問數目陡然上升了不少。如果你的網站主要是面對谷歌和海外使用者,那麼絕對不需要猶豫了,SSL是你的歸宿!
而且SSL會保障網站的安全。比如,網站很多關鍵詞出現敏感詞,沒有SSL的網站估計就難逃其咎了。之前V2EX因為敏感詞被封,SSL埠依然還是可以訪問。這個例子就證明了SSL的好處。
一些對SSL錯誤的看法
客觀的說SSL是會影響部分載入速度,但是絕對不是讓你的網站一下就拖慢了。除非你是潔癖的“處女座”
看法1:SSL會拖慢訪問速度嗎?
真相1:SSL實際上會比普通的HTTP 80埠的訪問多了一次HTTPS握手的時間(SSL Handshake Time),這個握手時間其實相對於網頁載入時間是很緩慢的。網頁載入的時候,HTTP需要3次TCP握手鍊接;而HTTPS則需要12次握手鍊接,較之HTTP多了9次。所以在建立連結的時候,多出了一些HTTPS加密解密的時間。實際上這個時間基本在0.2秒之內,你說算不算是拖慢速度呢?
看法2:SSL佔伺服器資源嗎?
真相2:我們用資料說話。只有足夠大的流量和資料才具有可靠的真實性。那麼Gmail的例子可以說是全球範圍內,最有參考價值的例子之一了。
2010年1月 Gmail切換到完全使用 https, 前端處理 SSL 機器的CPU 負荷增加不超過1%,每個連線的記憶體消耗少於20KB,網路流量增加少於2%。由於 Gmail 應該是使用N臺伺服器分散式處理,所以CPU 負荷的資料並不具有太多的參考意義,每個連線記憶體消耗和網路流量資料有參考意義。
SSL真的是傳說中的那樣嗎
有人丟擲了這樣一個問題:為什麼更安全的 HTTPS 協議沒有在網際網路上全面採用?
一條來自知乎的回答
SSL 證書需要錢。功能越強大的證書費用越高。個人網站、小網站沒有必要一般不會用。
SSL 證書通常需要繫結 IP,不能在同一 IP 上繫結多個域名。IPv4 資源不可能支撐這個消耗。( SSL 有擴充套件可以部分解決這個問題,但是比較麻煩,而且要求瀏覽器、作業系統支援。Windows XP 就不支援這個擴充套件,考慮到 XP 的裝機量,這個特性幾乎沒用。)
HTTPS 連線快取不如 HTTP 高效,大流量網站如非必要也不會採用。流量成本太高。
HTTPS 連線伺服器端資源佔用高很多,支援訪客稍多的網站需要投入更大的成本。如果全部採用 HTTPS,基於大部分計算資源閒置的假設的 VPS 的平均成本會上去。
HTTPS 協議握手階段比較費時,對網站的相應速度有負面影響。如非必要,沒有理由犧牲使用者體驗。
最關鍵的,SSL 證書的信用鏈體系並不安全。特別是在某些國家(咳咳,你們懂的)可以控制 CA 根證書的情況下,中間人攻擊一樣可行。
我為什麼放棄了SSL
網站被人攻擊了,SSL請求的時候比較容易佔資源,容易成為黑客CC你的途徑。其實我發自內心的鄙視那些搞CC的人,沒有技術含量,還損人。有那些閒工夫不如把搭建伺服器攻擊別人的錢捐給災區的孩子了。
加上我的網站並沒有什麼資料傳輸需要加密的地方。至於當初為什麼要開SSL?一是不想浪費獨立IP,二是看上了小綠鎖。如果不是最近的CC攻擊弄的我心情很煩,我是一定會繼續使用SSL訪問的。