【必知】不少人都不知道的SSL证书八大误区

自从2月初谷歌旗下Chrome浏览器宣布“封杀”HTTP将全部HTTP标示为不安全网站之后，愈来愈多的网站用户开始安装SSL证书，将网络传输协议从HTTP升级为HTTPS。但对于HTTPS和SSL证书的功能、使用、性能，其实目前不少用户并不十分清楚，甚至说在理解上存在很多误区。

误区一：HTTPS会使网站访问速度明显变慢

单从理论上讲能够这么说，由于HTTPS比HTTP多出了SSL握手环节。但这个环节耗费的时间通常仅有几百毫秒，要知道100毫秒才至关于0.1秒，因此咱们很难发觉速度上的变化。

比较典型的是百度、淘宝等网站均实现了HTTPS，但访问速度并未降低。而有时，HTTPS反倒比HTTP更快一点，这通常发生在一些大公司的内部局域网。由于一般状况下，公司的网关会截取并分析全部的网络通讯。但当它遇到HTTPS链接时就只能直接放行，由于HTTPS通过加密没法被解读。由于少了这个解读过程，因此HTTPS会更快。

误区二：HTTPS会大幅增长硬件成本

为实现HTTPS升级CPU、购买更多服务器已经成为历史。随着硬件性能的日新月异，HTTPS施加在硬件之上的运算压力已经愈来愈小，再加上合理的优化和部署，硬件成本增长几乎能够忽略不计。

误区三：只有涉及资金的网站才须要

HTTPS人们对银行、电商、金融等网站必须启用HTTPS已达成共识，但其余类型的网站是否有这个必要呢？

《纽约时报》认为颇有必要，由于HTTPS有助于保护读者的隐私和确保内容的真实性，它表示将让网站的所有内容都归入HTTPS的保护下。别忘了，Chrome、火狐已开始对非HTTPS页面进行警告，谷歌百度均给予HTTPS页面更高的搜索权重。所以不论从安全仍是发展的角度来说，HTTPS对各个类型的网站都很是必要。

误区四：在登录页面部署HTTPS便可

在登陆页面部署HTTPS，避免密码被截取，至于其它页面就不用了。但这种想法是危险的，由于若是仅登陆页使用了HTTPS，在登陆之后，其余页面就变成了HTTP。这时，页面缓存数据就暴露了。

也就是说，这些缓存数据是在HTTPS环境下创建的，但却在HTTP环境下传输。若是有人劫持到这些缓存数据，密码就极可能被盗。正是基于这个缘由，目前不少网站都从单一的登陆页HTTPS升级为全站HTTPS。

误区五：SSL证书很昂贵

既然HTTPS必不可少，咱们就申请一张，但SSL证书是收费的，价格不便宜。其实SSL证书的价格在网络安全产品中属于比较亲民的。并且在众多SSL证书提供商中，用户能够经过使用服务商推出的促销活动来减小使用SSL证书的成本。

误区六：国外的SSL证书更好用

国外品牌的SSL证书因为起步较早，因此在性能上长期领先国产SSL证书，以至你们造成了国外证书更好用的思惟定式。

但就在去年，中国金融认证中心（CFCA）的国产SSL证书实现了对微软、谷歌、苹果、火狐等全部浏览器和操做系统的支持，成为惟一可在性能上与国外证书相媲美的国产证书，同时在证书申请速度、优惠力度等方面较国外证书更有优点，使国外证书再也不是国内网站的惟一选择。

误区七：SSL证书能够随意申请

SSL证书并非随意申请的，须要提交真实可靠的资料（如企业营业执照、组织机构代码证等），通过人工审核经过后才可颁发。之因此如此，是由于服务商要保证SSL证书被合法机构使用，防止将证书颁发给不法人员并遭利用。

误区八：有了HTTPS，网站就完全安全了

这能够称为“HTTPS万能论”，部分企业也用HTTPS宣传本身的网站足够安全。但实际上，HTTPS是利用SSL证书知足网络通信传输加密和服务器身份验证这两个安全需求，即防窃取、防篡改、防钓鱼，别的安全需求就知足不了了。众多网站安全问题也不可能仅靠一张SSL证书就所有解决。

但传输加密和身份验证是网站安全的基础，基础都打很差，安全就是空谈。因此请记住这句话——对网络安全来讲，HTTPS不是万能的，但没有HTTPS是万万不能的！

原文：http://server.51cto.com/Review-581019.htm