我是网络安全新手。
为什么我要使用HTTP然后切换到HTTPS进行某些连接?
为什么不一直坚持使用HTTPS?
答案 0 :(得分:17)
有一些有趣的配置改进可以使SSL / TLS更便宜,如本文档所述(显然基于on work from a team from Google:Adam Langley,Nagendra Modadugu和Wan-Teh Chang):http://www.imperialviolet.org/2010/06/25/overclocking-ssl.html
如果我们想要一点 与世界沟通,就是这样 SSL / TLS不是计算上的 昂贵了。十年前呢 可能是真的,但它只是 不再是这种情况了。你也可以 能够为您的用户启用HTTPS。
今年1月(2010年),Gmail 切换到使用HTTPS的一切 默认情况下。以前它曾经 作为一种选择而引入,但现在全部 我们的用户使用HTTPS来保护他们的 他们的浏览器和 谷歌,一直以来。为了做到 这个我们不得不部署 机器,没有特殊的硬件。上 我们的生产前端机器, SSL / TLS占不到1% CPU负载,小于10KB的内存 每个连接不到2% 网络开销。很多人相信 SSL占用了大量的CPU时间 我们希望以上数字(公开的 第一次)将有助于消除 这一点。
如果你现在停止阅读,你只需要 要记住一件事:SSL / TLS不是 计算成本更高。
当仅将HTTPS用于登录页面时,一种错误的安全感是您对会话劫持敞开大门(诚然,它最好还是以明文方式发送用户名/密码);例如,最近使用Firesheep更容易做(或更受欢迎)(尽管问题本身存在的时间要长得多)。
另一个可能会降低HTTPS速度的问题是某些浏览器可能无法缓存他们通过HTTPS检索的内容,因此他们必须再次下载它们(例如,您经常访问的网站的背景图片)。
这就是说,如果您不需要传输安全性(防止攻击者查看或更改交换的数据,无论哪种方式),普通HTTP都可以。
答案 1 :(得分:7)
主要是表现原因。 SSL需要额外的(服务器)CPU时间。
编辑:然而,这些开销现在变得不那么成问题,一些大型网站已经切换到默认的HTTPS(例如GMail - 请参阅Bruno的回答)。
答案 2 :(得分:7)
如果您不传输需要安全的数据,则无需支付HTTPS的开销。
检查此SO线程以获得有关差异的非常详细的讨论。 HTTP vs HTTPS performance
答案 3 :(得分:3)
同样重要的是。防火墙,不要忘记通常在端口443上实现的HTTPS。 在某些组织中,此类端口未在防火墙或透明代理中配置。
答案 4 :(得分:2)
HTTPS可能非常慢,对于像图像这样的东西也是不必要的。