最近幾天有同學說要不要加https,有的說需要加有的說不需要要加。那么艾洋的觀點是:https能加就加,不能加也沒大礙。

1.https免費的,為什么不用。說明一下,免費的和收費的都有相同的加密功能,不同的是申請人身份驗證級別不同,對應的保險也不同,瀏覽器標志也不同。免費的只驗證域名而已,但是有著同樣的加密安全性。我們主要用的就是加密安全。

2.https并不會很影響性能。https握手階段用的是rsa非對稱加密,這是影響性能的原因。但是握手后,雙方協商出一個對稱秘鑰,用aes加密方式,和路由器的加密算法一樣,效率非常高。握手階段只能用非對稱加密,因為有個私鑰需要隱藏。rsa之所以安全是因為一個很大的數,因式分解成兩個數相乘的形式很困難這個原理。

3.防劫持是主要原因。前幾天在論壇里看到有人說關于網站全部正規內容,被提示違規之類的,并發了網址。我進去看了一下,第一次訪問跳轉到廣告頁面,關閉第二次正常打開。很明顯的運營商劫持。https則劫持不了。

4.保證數據的完整性。由于加密傳輸,中間人獲取不了數據,也篡改不了數據。有的地方運營商是可以插入廣告的,或者用正則匹配到廣告代碼,換成自己的廣告。https則不會發生這種情況,保證用戶看到的內容就是你發布的內容。

5.部署很簡單,方法搜索一下就行。

6.說下cdn,cdn其實也很重要,很多事在cdn做就行。比如部署https,部署ipv6等。最重要的是隱藏原站防攻擊。可以把原站的80和443改掉,正常不能訪問,cdn回源的時候帶上端口號,避免被掃到,非常安全。原站的配置也不用很高,百分之八九十的壓力都在cdn上,并且ip地址和節點眾多,很少故障。原站維護重啟等,都能保證正常訪問。

舉例:

從用戶視角出發,普通用戶被營銷網站、高仿網站糊弄怕了,不帶https,谷歌內核的瀏覽器就顯示“不安全”,普通用戶可能不敢點開看,或者訪問深度下降,單單這一點,得安裝了。