生活在叙利亚,当(Facebook,G +,Twitter等)插件无法在90%的网络上运行时,我感到非常不满。
问题是这些(社交)网站在叙利亚(政府决策)不受欢迎,但仍然work perfectly using https。但是,因为他们的插件使用相对协议,并且大多数网站都使用http,所以这些插件最终会尝试(并且失败)使用http加载。
问题是:为什么永远使用相关协议,如果您可以使用https?,使用https并确保用户数据安全传输并不总是更好?
我不认为巨型网站关心https开销,所以我对整个事情缺少什么?
答案 0 :(得分:1)
我发现不使用SSL(HTTPS)的唯一原因是如果您希望在300毫秒内获得响应,那就是性能。
SSL hanshake可能需要几个rount-trip-time,可能会在相同区域(例如美国东部的客户端和服务器)中添加几毫秒,有时甚至高达600毫秒或更长。我在南美洲,所以美国的服务器有时需要更多。
即使序列图看起来很简单,TCP也有一个初始拥塞窗口,使得协议至少需要一个RTT(往返时间),服务器才能将完整的证书发送给客户端。除了更改此初始拥塞窗口(cwnd)的服务器外。
此外,SSL协议更复杂,可能存在需要额外RTT的“更改密码规范消息”。
SSL握手后,额外的工作发生在服务器和客户端使用对称密钥进行加密和解密。但根据我的经验(可能占总CPU利用率的5%)并不重要。
我的评论对网络服务非常有用。现在,如果我们谈论网站,我会用HTTPS做任何事情。
答案 1 :(得分:0)
当我们查看https序列图时 http://blog.expressionsoftware.com/2011/02/https-sequence-diagram.html
我们看到只有客户端的第一个请求(握手步骤)才是开销。
所以我同意你的意见,最好使用https ...
也许缺少的是 你仍然不想相信 人很懒,不关心质量:)。
这也可以阅读...... http://www.codinghorror.com/blog/2012/02/should-all-web-traffic-be-encrypted.html