为什么更安全的 HTTPS 协议没有更早地在互联网上全面采用?
2017-02-22 00:00
696 查看
2015年3月中旬,百度推出全站HTTPS安全加密服务,这对HTTPS的普及起到了不小的推进作用,但一直很安全的HTTPS协议为什么没能早早地在互联网上全面采用?2011年知乎上有网友给出了如下回答:
SSL 证书需要钱。功能越强大的证书费用越高。个人网站、小网站没有必要一般不会用。
SSL 证书通常需要绑定 IP,不能在同一 IP 上绑定多个域名。IPv4 资源不可能支撑这个消耗。( SSL 有扩展可以部分解决这个问题,但是比较麻烦,而且要求浏览器、操作系统支持。Windows XP 就不支持这个扩展,考虑到 XP 的装机量,这个特性几乎没用。)
HTTPS 连接缓存不如 HTTP 高效,大流量网站如非必要也不会采用。流量成本太高。
HTTPS 连接服务器端资源占用高很多,支持访客稍多的网站需要投入更大的成本。如果全部采用 HTTPS,基于大部分计算资源闲置的假设的 VPS 的平均成本会上去。
HTTPS 协议握手阶段比较费时,对网站的相应速度有负面影响。如非必要,没有理由牺牲用户体验。
最关键的,SSL 证书的信用链体系并不安全。特别是在某些国家(咳咳,你们懂的)可以控制 CA 根证书的情况下,中间人攻击一样可行。
另外,在客户端被植入无数后门、木马的状况下,HTTPS 连接的作用非常有限。这也许是支付宝不可能像 PayPal 那么易用的原因之一。
SSL 证书需要钱。功能越强大的证书费用越高。个人网站、小网站没有必要一般不会用。
SSL 证书通常需要绑定 IP,不能在同一 IP 上绑定多个域名。IPv4 资源不可能支撑这个消耗。( SSL 有扩展可以部分解决这个问题,但是比较麻烦,而且要求浏览器、操作系统支持。Windows XP 就不支持这个扩展,考虑到 XP 的装机量,这个特性几乎没用。)
HTTPS 连接缓存不如 HTTP 高效,大流量网站如非必要也不会采用。流量成本太高。
HTTPS 连接服务器端资源占用高很多,支持访客稍多的网站需要投入更大的成本。如果全部采用 HTTPS,基于大部分计算资源闲置的假设的 VPS 的平均成本会上去。
HTTPS 协议握手阶段比较费时,对网站的相应速度有负面影响。如非必要,没有理由牺牲用户体验。
最关键的,SSL 证书的信用链体系并不安全。特别是在某些国家(咳咳,你们懂的)可以控制 CA 根证书的情况下,中间人攻击一样可行。
另外,在客户端被植入无数后门、木马的状况下,HTTPS 连接的作用非常有限。这也许是支付宝不可能像 PayPal 那么易用的原因之一。
相关文章推荐
- HTTPS 协议更加安全,却为什么没有在互联网上全面采用呢?
- HTTPS 为什么更安全?
- 802.11为什么采用CSMA/CA协议
- 并发垃圾收集器(CMS)为什么没有采用标记-整理算法来实现?
- 为什么日本德国没有一流互联网企业?
- 为什么日本德国没有一流互联网企业?
- 在网络7层协议中,如果想使用UDP协议达到TCP协议的效果,可以在哪层做文章?(QQ 为什么采用 UDP 协议,而不采用 TCP 协议实现?)
- 访问使用https协议的网址时,浏览器地址栏没有显示“安全锁”的标志的问题
- WebService 采用SSL/HTTPS协议来传输
- 从 PC 到手机,为什么中国的互联网巨头都没有做好浏览器呢?
- 移动互联网分发平台为什么没有出现赢家通吃的情况
- 当下大部分互联网创业公司为什么都愿意采用增量模型来做开发?
- IOS 采用https 协议访问接口
- Hadoop为什么没有采用RAID?
- 为什么要使用HTTPS协议??
- HTTPS 为什么更安全,先看这些
- Tomcat配置https协议、以及http协议自动REDIRECT到HTTPS【没有试验,内含设置强制https访问】
- HTTPS为什么更安全,先看这些 , 网络加密 , 加密解密
- 当下大部分互联网创业公司为什么都愿意采用增量模型做开发?