您当前的位置:周俊奇博客 > 杂项 > 市场营销

你的网站有必要启用https吗?

时间:2015-04-13 00:37:16

自从Google于2014年发布了一篇"HTTPS as a ranking signal"后,就表明https将影响到搜索排名。由于谷歌目前在国内是无法使用的状态,很多人也没怎么关注,去年11月百度也启用了HTTPS后,大家都开始讨论是否也需要给自己网站否启用HTTPS加密,我们都知道鉴别网站是否使用加密协议,只要看网址开头是不是HTTPS,如果是,说明网站正在使用SSL协议或TLS协议。大多数网站的加密方式就这两种要么是SSL,要么是TLS,两种安全协议都可以保护用户的密码安全和信用卡信息安全,保证信息在个人用户浏览器和服务器之间传输时的安全。但是少数网站,例如Facebook和Gmail,会对全站流量使用加密协议,而并非像百度仅对部分应用使用。

为什么HTTPS可以保证信息在个人用户浏览器和服务器之间传输时的安全呢?这个我们就得从其原理说起了,SSL或者及其继任者 TLS,是一种允许web浏览器和web服务器通过一个安全的连接进行交流的技术。这意味着将被发送的数据在一端被翻译成密码,传送出去,然后在另一端解开密码,再进行处理。这是一个双向的过程,也就是浏览器和服务器都需要在发送数据之前对它们进行加密。SSL的另一个重要方面是认证。这就是说,在你开始试图通过一个安全连接与一个Web服务器交流的时候,这个服务器会要求你的浏览器出示一组证件,通过“鉴定”的方式来证明这就是你所声明的网站。在某些情况下,服务器还会要求你的web浏览器的认证书,证明你就是你所说的那个人。这就是所知的“客户认证”,尽管实际情况中,更多地用在大型企业之间的电子商务的交易中,而不是对小型个人用户。因为大多数有SSL功能的网站不要求客户认证,例如支付宝。

从上面内容我们可以知道,HTTPS协议的站点更安全,且在搜索排名上更具优势,但是为什么还是有很多大型网站并没使用呢?例如淘宝。这就得从HTTPS协议的缺点来说了,当然这些缺点只是相对目前来说的,以后也许不存在了。

1.HTTPS加密和解密过程需要耗费系统大量的开销,严重降低机器的性能,相关测试数据表明使用HTTPS协议传输数据的工作效率只有使用HTTP协议传输的三分之一。假如为了安全保密,将一个网站所有的Web应用都启用SSL技术来加密,并使用HTTPS协议进行传输,那么该网站的性能和效率将会大大降低,性能和效率降低的后果就是打开网站变慢。对于小型网站来说,因为通常使用廉价的共享托管主机,所以在网站安装唯一证书难度很大,因为共享主机是共用同一IP的。另外我们使用HTTPS协议后,很多CDN服务商默认是不支持的,不过目前视乎很多CDN开始慢慢支持了,因为使用HTTPS协议后,自然会增加额外的开销,而按量计费的模式可以增加他们的收入。

2.增加成本,从几大证书管理机构购买TLS证书要花钱,每年花费大概在10-1000美金(因为证书是没有长期的,需要定期审核,及更换密钥的,所以需要定期缴纳费用),不同的证书价格取决于你要购买的证书种类,以及证书能提供的验证级别,当然有很多免费的,但可靠性有待验证。

3.兼容性问题,这里所说得“兼容性”包括很多方面,浏览器对HTTPS的兼容性问题、HTTPS协议解析以及SSL证书管理等。据介绍,中国国内HTTPS连接的失败率非常高,据以往第三方测试,偏远地区失败率高达45%。

综合上述,周俊奇个人认为,如果网站属于交易,及储存用户私密信息较多的可以HTTPS加密,且尽量使用全站HTTPS加密,而纯粹属于分享类型的网站就没必要启用了。例如:电子邮箱、电子商务、个人信息的社交等网站就尽量使用HTTPS加密,而新闻资讯、个人博客等分享类型的网站就没必要启用HTTPS加密了。对于搜索引擎的排名,其实完全不用操心,依据国外对谷歌的统计,排名前10000的只有4.2%启用了HTTPS加密,而这包括google、twitter、facebook这些尽量要HTTPS加密的网站。而在国内的百度,大家随便搜索一个关键词,然后看下前十名的有几个HTTPS加密的网站,就知道了。