HTTPS 和 HTTP 站点的优劣
Google、百度、米扑都已全站支持https,也在提倡站长们“升级”到https
近段时间也发现很多小网站买SSL证书上了https,很多站长也在观望中,到底该不该上https?
验证网站使用了 SSL HTTPS
https://cryptoreport.websecurity.symantec.com/checker/
验证米扑代理: https://proxy.mimvp.com
https 优点
安全性:
尽管HTTPS并非绝对安全,掌握根证书的机构、掌握加密算法的组织同样可以进行中间人形式的攻击。
HTTPS仍是现行架构下最安全的解决方案。
SEO:
Google和百度都说过,采用HTTPS加密的网站在搜索结果中的排名将会更高。
https 缺点
增加额外费用:
虽然也有免费的SSL证书,但是要想长期的运营网站,还是要购买收费的SSL。
网站访问速度变慢:
据一些知名网站报道,使用HTTPS协议会使页面的加载时间延长近50%,增加10%到20%的耗电。
HTTPS协议还会影响缓存,增加数据开销和功耗,甚至已有安全措施也会受到影响也会因此而受到影响。
HTTPS 连接服务器端资源占用高很多,支持访客稍多的网站需要投入更大的成本。
不能调用http的资源:
https网站无法调用任何http的资源,比如米扑科技首页,不能调用http的企业Logo:
http://cdn-proxy.mimvp.com/logo.png
http链接不能用在https站点上,还有一些网站统计代码、天气预报代码、腾讯营销QQ代码、iframe外部链接等所有不支持https的第三方代码,都无法再试用,除非网站使用http访问。解决办法是使用网站相对路径/logo.png,或CDN加上https,或使用//mimvp.com,代替指定http://mimvp.com 和 https://mimvp.com,详情请参考米扑博客: https网站引用http路径的js和css失效解决办法
https 混合内容
用户访问使用HTTPS的页面时,他们与web服务器之间的连接是使用SSL加密的,从而保护连接不受嗅探器和中间人攻击。
如果HTTPS页面包括由普通明文HTTP连接加密的内容,那么连接只是被部分加密。
非加密的内容可以被嗅探者入侵,并且可以被中间人攻击者修改,因此连接不再受到保护。
当一个网页出现HTTPS页面包括由普通明文HTTP连接加密的内容时,它被称为混合内容页面。
一些常见的混合内容的例子,包括JavaScript文件、css样式表、png图像、CDN加速、视频和其他媒体等。
https 混合内容检测
1. Firefox、Chrome 浏览器的控制台检测 (推荐)
打开Firefox、Chrome 浏览器,点击“F12”打开浏览器控制台,
例如:https://proxy.mimvp.com/free.php
1)Chrome 警告提示
2)Firefox 警告提示
2. 在线爬虫检测
SSL Check:https://www.jitbit.com/sslcheck/ (需连接被屏蔽了)
3. 桌面爬虫检测
HTTPS Checker: https://httpschecker.net
其也支持在线https检测,不过是收费的;
下载桌面应用,则免费,推测是离线检测不耗其服务器资源
4. 命令行工具检测
mcdetect:https://github.com/agis/mcdetect
1)安装 mcdetect
sudo npm install -g mcdetect
2)检测网站
mcdetect https://mimvp.com https://proxy.mimvp.com https://blog.mimvp.com
小结
到底该不该上https站,这个就看网站类型了,总体还是推荐上https,毕竟是网络时代的发展大趋势,顺势而为。
一些安全性要求比较高的网站,比如电商、支付、金融网站最好上https。
一些小型网站,比如新闻、博客、论坛等网站,还是推荐上,最起码代表热爱技术、拥抱变化。
https 是时代的发展趋势,目前已经有很多免费、低价的SSL证书提供商,米扑博客总结如下:
参考推荐:
https SSL 免费证书服务申请 (推荐)
Mac 安装Nginx with-http_ssl_module
版权所有: 本文系米扑博客原创、转载、摘录,或修订后发表,最后更新于 2018-10-14 21:29:40
侵权处理: 本个人博客,不盈利,若侵犯了您的作品权,请联系博主删除,莫恶意,索钱财,感谢!