如果您有 SSL 证书，为什么不对整个网站使用 https？

Question

不久前有人问我这个问题，但没有一个好的答案...

为什么拥有 SSL 证书的网站不会在整个网站上使用 https:// 而不是 http: 有充分的理由吗？ //

是否存在 SEO 问题？服务器的性能开销？

为了以防万一，我们使用 LAMP 堆栈。

谢谢！

Answer 1

有几个原因：

• 生成 SSL 内容需要一些额外的工作，因此繁忙网站的性能可能会成为一个问题
• 大多数（全部？）浏览器停止发送引荐来源网址信息，并请求通过您的网站跟踪用户可能会更具挑战性
• 您可能 必须更加谨慎地提供页面，以使浏览器正确缓存它们
• 如果页面是 SSL，则页面上加载的所有内容也应该是 SSL，以避免出现混合内容警告在浏览器中；在 SSL 下提供脚本、图像等依赖项并不总是很方便

，但请注意，许多网站都这样做。例如，我使用的一些银行总是 https，即使对于不需要它的部分也是如此。

Answer 2

1. 对于每个请求，您的数据都将被编码和解码，这将增加服务器上不必要的负载，并且还会增加您网站的响应时间。

Answer 3

使用 SSL/TLS 不再增加太多开销：http:// www.imperialviolet.org/2010/06/25/overclocking-ssl.html

（正如 @erickson 在本页的评论中所说，计算上最昂贵的部分是握手。总体来说很好的评论。）

我认为在某些情况下，您可能会损失性能，因为如果您关闭浏览器，浏览器往往不会将通过 HTTPS 获取的内容保留在文件缓存中（假设它是不应保留在磁盘上的敏感内容），因此您不会受益从浏览器的缓存中，并且必须重新加载内容。