100% HTTPS 网站的优点和缺点是什么？

Question

首先，我承认我对 HTTPS 的了解还很初级。我不太了解会话安全性、加密或这些事情应该如何完成。

我所知道的是网络安全很重要； XSS、CSRF 和数据库注入的恐怖故事一遍又一遍地出现。我知道针对此类漏洞采取预防性态度比被动应对要好。

但这个问题的动机来自不同的角度。我在一个定期接受用户付款的网站工作。显然，付款是通过安全通道 (HTTPS) 发送的。我主要负责网站的 CSS、HTML 和 JavaScript。据我所知，必须先复制 CSS、JavaScript 和图像文件，然后才能通过 HTTPS 调用它们。所以假设我有以下文件：

• css/global.css
• js/global.js
• images/
  • 徽标.png
  • bg.png

按照我的理解，这些文件需要复制才能“添加”到 HTTPS。因此，文件可以处于安全状态 (HTTPS)，也可以不处于安全状态。

如果这是真的，那么这就是一个重大障碍。即使在最小的站点中，复制文件并且每次更改 CSS 或 JS 时都必须维护它们也是一件很痛苦的事情。显然，可以通过将所有内容移至 HTTPS 来缓解这一问题。

所以我想知道的是，完全支持 HTTPS 的网站有哪些优点和缺点？它会导致明显的开销吗？对整个网站进行加密是不是很愚蠢？用户在整个访问过程中看到浏览器中的“安全”通知是否会感到更安全？最后但并非最不重要的一点是，它真的打造更安全的网站？ HTTPS 不能防御什么？

Answer 1

您可以通过 HTTPS 提供与通过 HTTP 相同的内容（只需将其指向相同的文档根）。

缺点可能是主要的，也可能是次要的，具体取决于：

1. 通过 HTTPS 提供内容比通过 HTTP 提供内容慢。
2. 由知名机构签署的证书可能会很昂贵，
3. 如果您没有由受信任的机构签署的证书（例如，您自己签署），访问者将收到警告

这些都是非常基本的，但只是一些需要注意的事项。另外，就我个人而言，如果看到整个网站都是 HTTPS，如果它与金融相关，我感觉好多了，显然，但就一般浏览而言，不，我不在乎。

Answer 2

明显的开销？是的，但是现在随着客户端和服务器速度越来越快，这一点越来越不重要。

您不需要复制所有内容，但确实需要使这些文件可通过 HTTPS 访问。您的 HTTPS 和 HTTP 服务可以使用相同的文档根。

对整个网站进行加密是不是很愚蠢？通常不会。

用户会感到更安全吗？大概。

它真的能让网站变得更安全吗？仅在处理客户端和服务器之间的通信通道时。其他一切仍然有待争夺。

Answer 3

你被误导了。假设您已将 http 和 https 映射设置为指向服务器上的同一物理网站，则无需复制 css、js 和图像文件。唯一重要的是，当您正在查看的页面也在 https 下时，这些文件将通过 https 引用。这将防止出现可怕的安全消息，表明页面上的某些对象不安全。

对于在 http（不安全）下运行站点的每个其他页面，您可以在相同位置引用这些相同的文件，但使用 http 地址。

为了回答你的另一个问题，将整个网站置于 https 下确实会降低性能。服务器必须努力加密通过网络发送的所有内容。然后一些不太旧的浏览器默认不会将https内容缓存到磁盘，这当然会导致服务器的负载更重。

因为我希望我的网站尽可能具有响应能力，所以我总是有选择性地选择对网站的哪些部分进行 SSL 加密。在大多数典型的电子商务网站中，唯一需要 SSL 加密的页面是登录、注册和结帐页面。

Answer 4

整个站点不支持 SSL 的传统原因是处理时间。使用 SSL 确实需要客户端和服务器都做更多的工作。然而，与现代处理器相比，这种开销相当小。

如果您正在运行一个非常大的站点，并且要加密所有内容，则可能需要稍微加快扩展速度。

您还需要购买证书，或使用用户可能不信任的自签名证书。

您还需要一个专用的 IP 地址。如果您使用共享主机系统，则需要有一个可专用于在您的站点上仅使用 SSL 的 IP。

但是，如果您能负担得起证书和私有 IP 并且不介意需要速度稍快的服务器，那么在整个站点上使用 SSL 是一个好主意。

考虑到 SSL 可以缓解的攻击数量，我会说这样做。

Answer 5

您不需要这些文件的多个副本即可使它们与 HTTP 配合使用。如果托管设置已配置为具有单独的 https 目录，则您可能需要拥有这些文件的 2 个副本。因此，回答您的问题 - HTTP 不需要重复文件，但取决于网络托管配置 - 可能需要。

关于 https 与 http 的优缺点，已经有一些帖子讨论了这个问题。
HTTP 与 HTTPS 性能
HTTPS 与 HTTP 速度比较

HTTPs 仅加密客户端计算机和服务器之间的数据。它不包含软件漏洞或远程 JavaScript 等问题。 HTTPs 不会让您的应用程序变得更好 - 它只会帮助保护用户和您的应用程序之间的数据。您需要确保您的应用程序没有安全漏洞，练习过滤所有数据、SQL，并经常查看安全日志。

但是，如果您只负责网站的前端部分，我不会担心它，但会向后端的主要开发人员提出安全问题。

Answer 6

问题之一是 https 流量可能会被阻止，例如在 Apple 计算机上，如果您设置家长控制，则会阻止 https 流量，因为它无法读取加密内容，您可以在此处阅读：

http://support.apple.com/kb/ht2900

https 注意：适用于使用 SSL 的网站
加密（URL 通常以
https），互联网内容
过滤器无法检查
页面的加密内容。为了
因此，加密网站必须
明确允许使用Always
允许列表。加密的网站
不在“始终允许”列表中
被自动互联网阻止
内容过滤器。

Answer 7

在您的网站上使用更多 https 的一个重要“优点”如下：

通过未加密的 WiFi 连接的用户（例如在机场）可以在 https 中提供密码，但如果网站在输入密码后切换回 http页面上，会话 cookie 就会暴露并可以立即被窃听者使用。

请参阅这篇文章 http://steve .grc.com/2010/10/28/why-firesheeps-time-has-come/#comment-2666