调查发现,大多数人对https持观望态度。他们同意https的安全性。但是,经过各级的考虑,他们决定目前不做https网站。有两个主要观点:
赞成态度
1、https具有更好的加密性能,避免了用户信息泄漏。
2、https复杂的传输方式,降低网站被劫持的风险;
3、搜索引擎完全支持https捕获和包含,并将优先显示https结果。
4、就个人而言,从安全的角度来看,我认为应该做https,但可以在登录后显示https。
5、https绿色锁可以增强用户对网站的信任。
6、基本成本是可控的。证书和服务器已经形成了支持方案。
7、cdn可以补偿网站的加载速度,但其安全性不容忽视。
8、https迟早是网络的发展趋势。
9、山寨和镜像网站可以被有效地阻止。
反驳论点
1、https将降低用户访问速度,增加网站服务器计算资源的消耗。
2、目前,搜索引擎只包含一小部分的https内容,因此应该维护一个wait-and-see系统。
3、https需要应用加密协议,增加了操作成本。
4、百度目前对https的优惠显示并不明显,但谷歌的优惠显示更为明显。
5、技术门槛太高,无法启动。
6、目前,该网站不涉及私人信息,也不需要https。
7、兼容性有待提高,如机器人不支持/联盟广告不支持等。
8、https网站的安全性受到限制,无论是黑还是黑;
9、https维护很麻烦。在搜索引擎中支持http的情况下,不需要进行https。
https的优缺点
根据案例反馈,https的优缺点主要分布在三个方面:
https的优点:
安全方面
在当前的技术背景下,https是当前架构下安全的解决方案,其主要优点如下:
1、用户和服务器可以通过使用https协议进行身份验证,以确保将数据发送到正确的客户机和服务器。
2、https协议是由ssl+http协议构成的网络协议,可用于加密传输和身份认证。它比http协议更安全。它可以防止数据在传输过程中被窃取和更改,确保数据的完整性。
3、https是当前体系结构下安全的解决方案。虽然它不是安全的,但它大大增加了中间人攻击的成本。
https的缺点:
技术方面
1、在同一网络环境下,https协议将使页面的加载时间延长近50%,功耗提高10%至20%。另外,https协议会影响缓存,增加数据开销和功耗。
2、https协议的安全性范围很广,在黑客攻击、拒绝服务攻击、服务器劫持等方面作用不大。
3、重要的是,ssl证书的信用链系统不安全。特别是当一些**能够控制ca根证书时,中间人攻击也是可行的。
成本方面
需要购买ssl的专业证书,证书越强大,成本越高。个人网站,小网站可以选择入门级的免费证书。
ssl证书通常需要绑定固定ip,这将增加向服务器添加固定ip的成本。
https连接服务器端资源占用量很大,相同的负载会增加带宽和服务器输入成本;