HTTPS而不是HTTP？

Posted 2023-02-25

【中文标题】HTTPS而不是HTTP？

【英文标题】：HTTPS instead of HTTP?

【发布时间】：2011-05-03 12:12:49

【问题描述】：

我是网络安全新手。

为什么我要使用 HTTP 然后切换到 HTTPS 进行某些连接？

为什么不一直坚持使用 HTTPS？

【参考方案1】：

有一些有趣的配置改进可以降低 SSL/TLS 的成本，如本文档所述（显然基于 on work from a team from Google：Adam Langley、Nagendra Modadugu 和 Wan-Teh Chang）：http://www.imperialviolet.org/2010/06/25/overclocking-ssl.html

如果有一点我们想要 与世界交流，就是这样 SSL/TLS 不是计算的 贵了。十年前它 可能是真的，但这只是 不再是这种情况了。你也可以 为您的用户启用 HTTPS。

今年 1 月（2010 年），Gmail 切换到对所有内容都使用 HTTPS 默认。以前一直是 作为一个选项引入，但现在所有 的用户使用 HTTPS 来保护他们的 他们的浏览器之间的电子邮件和 谷歌，一直。为了做 我们不必部署额外的 机器，没有特殊的硬件。在 我们的生产前端机器， SSL/TLS 占不到 1% CPU负载，小于10KB的内存 每个连接和不到 2% 网络开销。很多人相信 SSL 占用大量 CPU 时间，并且 我们希望上述数字（公众为 第一次）将有助于消除 那个。

如果你现在停止阅读，你只需要 记住一件事：SSL/TLS 不是 计算成本更高了。

仅将 HTTPS 用于登录页面时，一种错误的安全感是，您为会话劫持敞开了大门（诚然，这总比明文发送用户名/密码要好）；这最近使用 Firesheep 变得更容易（或更流行）（尽管问题本身已经存在了更长的时间）。

另一个可能降低 HTTPS 速度的问题是，某些浏览器可能不会缓存它们通过 HTTPS 检索的内容，因此它们必须重新下载它们（例如，您经常访问的网站的背景图片）。

话虽如此，如果您不需要传输安全性（防止攻击者查看或更改交换的数据，无论哪种方式），纯 HTTP 都可以。

【讨论】：

Cloudant、Gmail 和 Linode 是整个应用使用 HTTPS 的一些应用。我想我也可以这样做，然后来回切换:)

HTTPS 的计算成本并不高，但在大多数情况下，Web 性能的限制因素既不是 CPU 也不是带宽——它的延迟——而且 HTTPS 强制每个连接至少进行一次额外的往返——而且由于微软的实施SSL 与其他人不同，这通常意味着针对每个请求。

【参考方案2】：

如果您不传输需要安全的数据，则不需要 HTTPS 的开销。

查看此 SO 线程以获取有关差异的非常详细的讨论。 HTTP vs HTTPS performance

【参考方案3】：

主要是性能原因。 SSL 需要额外的（服务器）CPU 时间。

编辑：然而，这些天来，这种开销变得越来越小，一些大型网站已经切换到默认使用 HTTPS（例如 GMail - 请参阅 Bruno 的回答）。

【参考方案4】：

同样重要的事情。防火墙，别忘了通常 HTTPS 在端口 443 上实现。 在某些组织中，此类端口未在防火墙或透明代理中配置。

【讨论】：

谁会阻止 SSL 连接？

【参考方案5】：

HTTPS 可能非常慢，并且对于图像之类的东西来说是不必要的。