優(yōu)點(diǎn):
SEO方面
谷歌曾在2014年8月份調(diào)整搜索引擎算法,并稱“比起同等HTTP網(wǎng)站,采用HTTPS加密的網(wǎng)站在搜索結(jié)果中的排名將會(huì)更高”。
安全性
盡管HTTPS并非絕對(duì)安全,掌握根證書的機(jī)構(gòu)、掌握加密算法的組織同樣可以進(jìn)行中間人形式的攻擊。但HTTPS仍是現(xiàn)行架構(gòu)下最安全的解決方案,主要有以下幾個(gè)好處:
1)使用HTTPS協(xié)議可認(rèn)證用戶和服務(wù)器,確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器;
2)HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議,要比http協(xié)議安全,可防止數(shù)據(jù)在傳輸過程中不被竊取、改變,確保數(shù)據(jù)的完整性。
3)HTTPS是現(xiàn)行架構(gòu)下最安全的解決方案,雖然不是絕對(duì)安全,但它大幅增加了中間人攻擊的成本。
缺點(diǎn):
SEO方面
據(jù)ACM CoNEXT數(shù)據(jù)顯示,使用HTTPS協(xié)議會(huì)使頁面的加載時(shí)間延長近50%,增加10%到20%的耗電。此外,HTTPS協(xié)議還會(huì)影響緩存,增加數(shù)據(jù)開銷和功耗,甚至已有安全措施也會(huì)受到影響也會(huì)因此而受到影響。
而且HTTPS協(xié)議的加密范圍也比較有限,在黑客攻擊、拒絕服務(wù)攻擊、服務(wù)器劫持等方面幾乎起不到什么作用。
最關(guān)鍵的,SSL 證書的信用鏈體系并不安全。特別是在某些國家可以控制 CA 根證書的情況下,中間人攻擊一樣可行。
經(jīng)濟(jì)方面
SSL 證書需要錢。功能越強(qiáng)大的證書費(fèi)用越高。個(gè)人網(wǎng)站、小網(wǎng)站沒有必要一般不會(huì)用。
SSL 證書通常需要綁定 IP,不能在同一 IP 上綁定多個(gè)域名。IPv4 資源不可能支撐這個(gè)消耗。( SSL 有擴(kuò)展可以部分解決這個(gè)問題,但是比較麻煩,而且要求瀏覽器、操作系統(tǒng)支持。Windows XP 就不支持這個(gè)擴(kuò)展,考慮到 XP 的裝機(jī)量,這個(gè)特性幾乎沒用。)
HTTPS 連接緩存不如 HTTP 高效,大流量網(wǎng)站如非必要也不會(huì)采用。流量成本太高。
HTTPS 連接服務(wù)器端資源占用高很多,支持訪客稍多的網(wǎng)站需要投入更大的成本。如果全部采用 HTTPS,基于大部分計(jì)算資源閑置的假設(shè)的 VPS 的平均成本會(huì)上去。
HTTPS 協(xié)議握手階段比較費(fèi)時(shí),對(duì)網(wǎng)站的相應(yīng)速度有負(fù)面影響。如非必要,沒有理由犧牲用戶體驗(yàn)。
