很多人都不知道的SSL数字证书八大误区
发布时间:2024-12-26 点击:21
自从2月初谷歌旗下chrome浏览器宣布“封杀”http将所有http标示为不安全网站以后,越来越多的网站用户开始安装ssl数字证书,将网络传输协议从http升级为https。但对于https和ssl数字证书的功能、使用、性能,其实目前很多用户并不十分清楚,甚至说在理解上存在不少误区。
误区一:https会使网站访问速度明显变慢
单从理论上讲可以这么说,因为https比http多出了ssl握手环节。但这个环节耗费的时间一般仅有几百毫秒,要知道100毫秒才相当于0.1秒,所以我们很难发觉速度上的变化。
比较典型的是百度、淘宝等网站均实现了https,但访问速度并未下降。而有时,https反倒比http更快一点,这一般发生在一些大公司的内部局域网。因为通常情况下,公司的网关会截取并分析所有的网络通信。但当它遇到https连接时就只能直接放行,因为https经过加密无法被解读。因为少了这个解读过程,所以https会更快。
误区二:https会大幅增加硬件成本
为实现https升级cpu、购买更多服务器已经成为历史。随着硬件性能的突飞猛进,https施加在硬件之上的运算压力已经越来越小,再加上合理的优化和部署,硬件成本增加几乎可以忽略不计。
误区三:只有涉及资金的网站才需要
https人们对银行、电商、金融等网站必须启用https已达成共识,但其他类型的网站是否有这个必要呢?
《纽约时报》认为很有必要,因为https有助于保护读者的隐私和确保内容的真实性,它表示将让网站的全部内容都纳入https的保护下。别忘了,chrome、火狐已开始对非https页面进行警告,谷歌百度均给予https页面更高的搜索权重。因此不论从安全还是发展的角度来讲,https对各个类型的网站都非常必要。
误区四:在登陆页面部署https即可
在登录页面部署https,避免密码被截取,至于其它页面就不用了。但这种想法是危险的,因为如果仅登录页使用了https,在登录以后,其他页面就变成了http。这时,页面缓存数据就暴露了。
也就是说,这些缓存数据是在https环境下建立的,但却在http环境下传输。如果有人劫持到这些缓存数据,密码就很可能被盗。正是基于这个原因,目前很多网站都从单一的登录页https升级为全站https。
误区五:ssl数字证书很昂贵
误区六:国外的ssl数字证书更好用
国外品牌的ssl数字证书由于起步较早,所以在性能上长期国产ssl数字证书,以致大家形成了国外证书更好用的思维定式。
但就在去年,中国金融认证中心(cfca)的国产ssl数字证书实现了对微软、谷歌、苹果、火狐等所有浏览器和操作系统的支持,成为唯一可在性能上与国外证书相媲美的国产证书,同时在证书申请速度、优惠力度等方面较国外证书更有优势,使国外证书不再是国内网站的唯一选择。
误区七:ssl证书可以随意申请
ssl数字证书并不是随意申请的,需要提交真实可靠的资料(如企业营业执照、组织机构代码证等),经过人工审核通过后才可颁发。之所以如此,是因为服务商要保证ssl数字证书被合法机构使用,防止将证书颁发给不法人员并遭利用。
误区八:有了https,网站就彻底安全了
这可以称为“https万能论”,部分企业也用https宣传自己的网站足够安全。但实际上,https是利用ssl数字证书满足网络通讯传输加密和服务器身份验证这两个安全需求,即防窃取、防篡改、防钓鱼,别的安全需求就满足不了了。众多网站安全问题也不可能仅靠一张ssl数字证书就全部解决。
但传输加密和身份验证是网站安全的基础,基础都打不好,安全就是空谈。所以请记住这句话——对网络安全来说,https不是万能的,但没有https是万万不能的!
租用海外云服务器,数据和隐私会不会泄露出去?
让手机网页增加收入
模版网站也可适当按照客户要求付费修改美化细节
如何实现数据中心的自动化运营?
【网站建设】企业营销型网站应如何设计着陆页面?
香港云服务器对网站排名有影响吗?
网站建设如何打造成一个知名品牌?
广州手机网站建设需要多少钱呢?
误区一:https会使网站访问速度明显变慢
单从理论上讲可以这么说,因为https比http多出了ssl握手环节。但这个环节耗费的时间一般仅有几百毫秒,要知道100毫秒才相当于0.1秒,所以我们很难发觉速度上的变化。
比较典型的是百度、淘宝等网站均实现了https,但访问速度并未下降。而有时,https反倒比http更快一点,这一般发生在一些大公司的内部局域网。因为通常情况下,公司的网关会截取并分析所有的网络通信。但当它遇到https连接时就只能直接放行,因为https经过加密无法被解读。因为少了这个解读过程,所以https会更快。
误区二:https会大幅增加硬件成本
为实现https升级cpu、购买更多服务器已经成为历史。随着硬件性能的突飞猛进,https施加在硬件之上的运算压力已经越来越小,再加上合理的优化和部署,硬件成本增加几乎可以忽略不计。
误区三:只有涉及资金的网站才需要
https人们对银行、电商、金融等网站必须启用https已达成共识,但其他类型的网站是否有这个必要呢?
《纽约时报》认为很有必要,因为https有助于保护读者的隐私和确保内容的真实性,它表示将让网站的全部内容都纳入https的保护下。别忘了,chrome、火狐已开始对非https页面进行警告,谷歌百度均给予https页面更高的搜索权重。因此不论从安全还是发展的角度来讲,https对各个类型的网站都非常必要。
误区四:在登陆页面部署https即可
在登录页面部署https,避免密码被截取,至于其它页面就不用了。但这种想法是危险的,因为如果仅登录页使用了https,在登录以后,其他页面就变成了http。这时,页面缓存数据就暴露了。
也就是说,这些缓存数据是在https环境下建立的,但却在http环境下传输。如果有人劫持到这些缓存数据,密码就很可能被盗。正是基于这个原因,目前很多网站都从单一的登录页https升级为全站https。
误区五:ssl数字证书很昂贵
误区六:国外的ssl数字证书更好用
国外品牌的ssl数字证书由于起步较早,所以在性能上长期国产ssl数字证书,以致大家形成了国外证书更好用的思维定式。
但就在去年,中国金融认证中心(cfca)的国产ssl数字证书实现了对微软、谷歌、苹果、火狐等所有浏览器和操作系统的支持,成为唯一可在性能上与国外证书相媲美的国产证书,同时在证书申请速度、优惠力度等方面较国外证书更有优势,使国外证书不再是国内网站的唯一选择。
误区七:ssl证书可以随意申请
ssl数字证书并不是随意申请的,需要提交真实可靠的资料(如企业营业执照、组织机构代码证等),经过人工审核通过后才可颁发。之所以如此,是因为服务商要保证ssl数字证书被合法机构使用,防止将证书颁发给不法人员并遭利用。
误区八:有了https,网站就彻底安全了
这可以称为“https万能论”,部分企业也用https宣传自己的网站足够安全。但实际上,https是利用ssl数字证书满足网络通讯传输加密和服务器身份验证这两个安全需求,即防窃取、防篡改、防钓鱼,别的安全需求就满足不了了。众多网站安全问题也不可能仅靠一张ssl数字证书就全部解决。
但传输加密和身份验证是网站安全的基础,基础都打不好,安全就是空谈。所以请记住这句话——对网络安全来说,https不是万能的,但没有https是万万不能的!
租用海外云服务器,数据和隐私会不会泄露出去?
让手机网页增加收入
模版网站也可适当按照客户要求付费修改美化细节
如何实现数据中心的自动化运营?
【网站建设】企业营销型网站应如何设计着陆页面?
香港云服务器对网站排名有影响吗?
网站建设如何打造成一个知名品牌?
广州手机网站建设需要多少钱呢?