2015年3月中旬,百度推出全站HTTPS安全加密服務(wù),這對HTTPS的普及起到了不小的推進(jìn)作用,但一直很安全的HTTPS協(xié)議為什么沒能早早地在互聯(lián)網(wǎng)上全面采用?2011年知乎上有網(wǎng)友給出了如下回答:
SSL 證書需要錢。功能越強大的證書費用越高。個人網(wǎng)站、小網(wǎng)站沒有必要一般不會用。
SSL 證書通常需要綁定 IP,不能在同一 IP 上綁定多個域名。IPv4 資源不可能支撐這個消耗。( SSL 有擴展可以部分解決這個問題,但是比較麻煩,而且要求瀏覽器、操作系統(tǒng)支持。Windows XP 就不支持這個擴展,考慮到 XP 的裝機量,這個特性幾乎沒用。)
HTTPS 連接緩存不如 HTTP 高效,大流量網(wǎng)站如非必要也不會采用。流量成本太高。
HTTPS 連接服務(wù)器端資源占用高很多,支持訪客稍多的網(wǎng)站需要投入更大的成本。如果全部采用 HTTPS,基于大部分計算資源閑置的假設(shè)的 VPS 的平均成本會上去。
HTTPS 協(xié)議握手階段比較費時,對網(wǎng)站的相應(yīng)速度有負(fù)面影響。如非必要,沒有理由犧牲用戶體驗。
最關(guān)鍵的,SSL 證書的信用鏈體系并不安全。特別是在某些國家(咳咳,你們懂的)可以控制 CA 根證書的情況下,中間人攻擊一樣可行。
另外,在客戶端被植入無數(shù)后門、木馬的狀況下,HTTPS 連接的作用非常有限。這也許是支付寶不可能像 PayPal 那么易用的原因之一。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!