我一直在阅读很多关于使用HTTPS(基于 SSL/TLS 的 HTTP)的优势以及通过 HTTPS 部署网站所涉及的性能问题的在线文章和博客。我的理解是,在 SSL/TLS 上使用 HTTP 的性能开销是因为在协议中使用了非对称加密,这种开销高度依赖于硬件、服务器软件、典型会话长度、客户端缓存行为等因素。
另一方面,最近的许多类似这篇文章声称,由于现代处理器及其架构的容量和性能的改进,使用 HTTPS 时性能不再是一个问题。此外,SSL 证书不再像以前那样昂贵。
所以,我的问题是,为什么我们仍然依赖 HTTP 而我们可以使用 HTTPS 而不会在网站上产生任何性能开销?通过 HTTPS 转移所有通信有什么缺点吗?
以下是一些常见的原因:
证书费用。证书通常不是免费的,对于小型或其他不太重要的域,成本是不合理的。
虚拟主机。虽然存在在 SSL 协商期间指定主机名的技术,但该技术的部署还不够广泛。因此,SSL 域需要它们自己独特的 IP/端口组合来消除歧义。并且没有足够的 IP 可以使用。
缓存。边缘缓存和内容分发网络通常不能很好地与 SSL 配合使用。对于第三方 CDN 和基于代理的缓存来说,这种情况更为常见。
对于很多网站来说,加密并不重要。
当你查看新闻头条或评论 Reddit 时,安全和隐私对你来说真的没那么重要。
尽管声称 SSL 可以以低成本完成,但它肯定不是零成本——因为 tylerl 解释得很好。所以它只在重要的网站上使用。
最近情况发生了很大变化。三四年前,Gmail 和 Facebook 等网站只加密了你的登录信息,而不是你的整个会话。现在他们加密了整个会话——主要是因为 Fire Sheep 如此有力地证明了这个漏洞。