終結(jié)流言！擊破HTTPS與SSL證書(shū)八大誤區(qū)

　　隨著Chrome、火狐等瀏覽器對(duì)非HTTPS頁(yè)面亮出警告及出于安全考慮，越來(lái)越多的網(wǎng)站開(kāi)始安裝SSL證書(shū)，將網(wǎng)絡(luò)傳輸協(xié)議從HTTP升級(jí)為HTTPS。但對(duì)于HTTPS和SSL證書(shū)的功能、使用、性能，目前還存在不少理解上的誤區(qū)。只有將這些誤區(qū)破除，才能將HTTPS和SSL證書(shū)更好地應(yīng)用于網(wǎng)絡(luò)安全策略中，最大限度地發(fā)揮其作用。

　　誤區(qū)1：HTTPS會(huì)使網(wǎng)站訪問(wèn)速度明顯變慢

　　單從理論上講可以這么說(shuō)，因?yàn)镠TTPS比HTTP多出了ssl握手環(huán)節(jié)。但這個(gè)環(huán)節(jié)耗費(fèi)的時(shí)間一般僅有幾百毫秒，要知道100毫秒才相當(dāng)于0.1秒，所以我們很難發(fā)覺(jué)速度上的變化。比較典型的是百度、淘寶等網(wǎng)站均實(shí)現(xiàn)了HTTPS，但訪問(wèn)速度并未下降。而有時(shí)，HTTPS反倒比HTTP更快一點(diǎn)，這一般發(fā)生在一些大公司的內(nèi)部局域網(wǎng)。因?yàn)橥ǔＧ闆r下，公司的網(wǎng)關(guān)會(huì)截取并分析所有的網(wǎng)絡(luò)通信。但當(dāng)它遇到HTTPS連接時(shí)就只能直接放行，因?yàn)镠TTPS經(jīng)過(guò)加密無(wú)法被解讀。因?yàn)樯倭诉@個(gè)解讀過(guò)程，所以HTTPS會(huì)更快。

　　誤區(qū)2： HTTPS會(huì)大幅增加硬件成本

　　為實(shí)現(xiàn)HTTPS升級(jí)CPU、購(gòu)買更多服務(wù)器已經(jīng)成為歷史。隨著硬件性能的突飛猛進(jìn)，HTTPS施加在硬件之上的運(yùn)算壓力已經(jīng)越來(lái)越小，再加上合理的優(yōu)化和部署，硬件成本增加幾乎可以忽略不計(jì)。

　　誤區(qū)3：只有涉及資金的網(wǎng)站才需要HTTPS

　　人們對(duì)銀行、電商、金融等網(wǎng)站必須啟用HTTPS已達(dá)成共識(shí)，但其他類型的網(wǎng)站是否有這個(gè)必要呢？《紐約時(shí)報(bào)》認(rèn)為很有必要，因?yàn)镠TTPS有助于保護(hù)讀者的隱私和確保內(nèi)容的真實(shí)性，它表示將讓網(wǎng)站的全部?jī)?nèi)容都納入HTTPS的保護(hù)下。別忘了，Chrome、火狐已開(kāi)始對(duì)非HTTPS頁(yè)面進(jìn)行警告，谷歌百度均給予HTTPS頁(yè)面更高的搜索權(quán)重。因此不論從安全還是發(fā)展的角度來(lái)講，HTTPS對(duì)各個(gè)類型的網(wǎng)站都非常必要。

　　誤區(qū)4：在登錄頁(yè)面部署HTTPS即可

　　在登錄頁(yè)面部署HTTPS，避免密碼被截取，至于其它頁(yè)面就不用了。但這種想法是危險(xiǎn)的，因?yàn)槿绻麅H登錄頁(yè)使用了HTTPS，在登錄以后，其他頁(yè)面就變成了HTTP。這時(shí)，頁(yè)面緩存數(shù)據(jù)就暴露了。也就是說(shuō)，這些緩存數(shù)據(jù)是在HTTPS環(huán)境下建立的，但卻在HTTP環(huán)境下傳輸。如果有人劫持到這些緩存數(shù)據(jù)，密碼就很可能被盜。正是基于這個(gè)原因，目前很多網(wǎng)站都從單一的登錄頁(yè)HTTPS升級(jí)為全站HTTPS。

　　誤區(qū)5：SSL證書(shū)很昂貴

　　既然HTTPS必不可少，我們就申請(qǐng)一張，但SSL證書(shū)是收費(fèi)的，似乎并不便宜？首先，SSL證書(shū)的價(jià)格在網(wǎng)絡(luò)安全產(chǎn)品中屬于比較親民的；其次，貨比三家或多關(guān)注CA機(jī)構(gòu)的促銷活動(dòng)，有助于申請(qǐng)到物美價(jià)廉的證書(shū)；最后，SSL證書(shū)對(duì)數(shù)據(jù)、用戶安全的保護(hù)價(jià)值遠(yuǎn)遠(yuǎn)超過(guò)它的價(jià)格。

　　誤區(qū)6：國(guó)外的SSL證書(shū)更好用

　　國(guó)外品牌的SSL證書(shū)由于起步較早，所以在性能上長(zhǎng)期領(lǐng)先國(guó)產(chǎn)SSL證書(shū)，以致大家形成了國(guó)外證書(shū)更好用的思維定式。但就在去年，中國(guó)金融認(rèn)證中心（CFCA）的國(guó)產(chǎn)SSL證書(shū)實(shí)現(xiàn)了對(duì)微軟、谷歌、蘋果、火狐等所有瀏覽器和操作系統(tǒng)的支持，成為唯一可在性能上與國(guó)外證書(shū)相媲美的國(guó)產(chǎn)證書(shū)，同時(shí)在證書(shū)申請(qǐng)速度、優(yōu)惠力度等方面較國(guó)外證書(shū)更有優(yōu)勢(shì)，使國(guó)外證書(shū)不再是國(guó)內(nèi)網(wǎng)站的唯一選擇。

　　誤區(qū)7：SSL證書(shū)可以隨意申請(qǐng)

　　好吧，我愿意掏錢，請(qǐng)CA機(jī)構(gòu)馬上給我發(fā)一張。對(duì)不起，SSL證書(shū)并不是掏錢就一定能申請(qǐng)到。你需要提交真實(shí)可靠的資料（如企業(yè)營(yíng)業(yè)執(zhí)照、組織機(jī)構(gòu)代碼證等），經(jīng)過(guò)CA人工審核通過(guò)后才可頒發(fā)。如果是EV型SSL證書(shū)，還會(huì)在此基礎(chǔ)上追加律師函的審核。之所以如此，是因?yàn)镃A要保證SSL證書(shū)被合法機(jī)構(gòu)使用，防止將證書(shū)頒發(fā)給不法人員并遭利用。

　　誤區(qū)8：有了HTTPS 網(wǎng)站就徹底安全了

　　這可以稱為“HTTPS萬(wàn)能論”，部分企業(yè)也用HTTPS宣傳自己的網(wǎng)站足夠安全。但實(shí)際上，HTTPS是利用SSL證書(shū)滿足網(wǎng)絡(luò)通訊傳輸加密和服務(wù)器身份驗(yàn)證這兩個(gè)安全需求，即防竊取、防篡改、防釣魚(yú)，別的安全需求就滿足不了了。眾多網(wǎng)站安全問(wèn)題也不可能僅靠一張SSL證書(shū)就全部解決。

　　如果您希望了解更多HTTPS和SSL證書(shū)相關(guān)的信息，請(qǐng)撥打010-59798680或登錄ssl.cfca.com.cn查詢。

【關(guān)注微信公眾號(hào)：石化寶（bweipan）手機(jī)也能炒白銀原油，僅需8元即可參與，快來(lái)試試吧】

　　原標(biāo)題：終結(jié)流言！擊破HTTPS與SSL證書(shū)八大誤區(qū)