可能重复:
Will it ever be possible to run all web traffic via HTTPS?
为什么使用加密进行安全通信的概念与在https中确认网站的身份有关?是否所有网络用户都不会受益于使用256位密钥加密其http流量?
有很多站点使用可以窥探的http来传输用户的登录名/密码。用户并不是那么精明,只是避免所有这些弱站点,并经常使用相同的凭据来保护弱安全站点和强大的安全站点。 (有些网站,比如Twitter,甚至不清楚他们在你登录时使用https,他们确实使用https,但是你不能轻易地从他们的主页面告诉你没有加载https。)
通过http使用https时会有轻微的性能损失,但它是否足以平衡所有用户的网络通信安全的好处?我看到https和扩展的https验证对于让用户知道他们正在处理的对象非常有用。但是,即使你不知道自己在与谁打交道或者不需要那么多信任他们,也不会通过让http流量更难以窥探来改善所有用户的整体安全性吗?
答案 0 :(得分:4)
不要忘记浏览器通常不会缓存通过https获取的任何内容 - 如果默认情况下使用它,则页面加载速度变慢,带宽使用率会上升。
看起来这是不正确的 - 我的观察是基于我从未见过缓存内容的银行网站,但很明显这取决于常规的HTTP缓存控制标题。
另请参阅类似问题 Will it ever be possible to run all web traffic via HTTPS?
的答案答案 1 :(得分:3)
我能想到的几个原因:
安全性用于保护敏感/重要的事物。如果某些事情不敏感或重要,则无需安全。
SSL并没有真正提供验证您正在处理的人的方式。如果您有电子邮件地址(可能是电话号码),您可以获得SSL证书。
如果您拥有大量用户,那么“轻微的性能损失”确实会增加。
有些人只是不想在他们的博客/主页/等上花费额外的一百美元一年的时间来获得SSL证书。
答案 2 :(得分:1)
销售SSL证书有很大的业务。很多很多网站也不需要这种安全性。
坦率地说,我不认为最大的安全问题是人们窥探普通的http流量。这是一个肯定的问题,但更大的炸鱼是人们在客户端窃取用户数据库和/或蠕虫/病毒。如果坏人有您的银行数据库,Https将无法帮助您。
答案 3 :(得分:1)
您忘记了使用SSL的第二点。这是为了验证您是否将数据发送给您认为自己是谁。
如果那里的每个人都开始使用SSL,它将失去第二个功能点(除非每个运行网站的人都从受信任的机构购买了SSL证书并得到验证......在这种情况下,每个人都必须为该网站支付更多费用。)
EV(扩展验证)证书的情况更是如此。它们不一定比普通证书更安全,但购买它们的验证过程要严格得多,并且可以发布它们的供应商较少。
答案 4 :(得分:1)
SSL证书可能非常昂贵。当然你可以自我签署证书,但现在几乎所有的浏览器都会提醒你自签名证书(无论如何使用自签名证书都是不好的做法)。
此外,始终无需使用https。例如,下载文件不是您通常想要通过https执行的操作,因为它只是无用的开销。应该需要https,你不应该只使用它,因为你可以。
答案 5 :(得分:1)
我可以看到在网络上拥有两种“安全模式”是有用的:即使你可以在尼日利亚和一个诈骗者交谈,也可以确保渠道是安全的知道你在和谁说话,但我不确定这是否值得。首先,如果你不知道你在跟谁说话,那就不太安全了,然后我不确定每天的互联网用户是否可以或者会费心去花时间注意并使用这种区别。我认为只要有一个“安全”的浏览形式就好了,让人们知道,当他们看到这种情况时,他们就会好起来。
就性能而言,这是一个小小的打击,但它随着计算机性能的提高而不断上升(随着计算机变得越来越快,使用密钥和<来解码RSA加密变得更容易/ em>要素数大,因此计算机性能和密钥长度需要一起提高)。但是,看看亚马逊。我会说他们知道他们在做什么,并且他们已经决定他们不希望在任何他们不需要的地方发现SSL,并且已经竭尽全力只为帐户和订单相关的活动提供服务。