HTTPS而不是HTTP？

Question

我是网络安全新手。

为什么我要使用HTTP，然后切换到HTTPS的一些连接？

为什么不坚持使用HTTPS？

Answer 1

有一些很有意思的配置的改进，可以使SSL/TLS便宜，因为本文档中描述（显然是基于on work from a team from Google：亚当·兰利，Nagendra Modadugu和万德昌）：http://www.imperialviolet.org/2010/06/25/overclocking-ssl.html

如果有一表示我们想要 与世界通信，那就是 SSL/TLS不是计算上的 。十年前它 可能是真的，但它只是 不再是这种情况。您也可以通过 为您的用户启用HTTPS。

在今年1月份（2010年），Gmail 默认情况下切换为使用HTTPS的所有内容 。此前它一直 介绍作为一个选项，但现在我们的用户的所有 使用HTTPS，以确保他们的浏览器和谷歌 ，所有的时间之间的 电子邮件。为了做 这个我们不得不部署额外的 机器，并没有特殊的硬件。我们的生产前端机器 ， SSL/TLS占CPU负载的比例小于1％，每个连接少于10KB内存 ，并且少于网络开销的2％ 。许多人认为 是SSL需要大量的CPU时间和 我们希望上面的数字（公众 第一次）将有助于消除 这一点。

如果您现在停止阅读，您只需要 就可以记住一件事：SSL/TLS不是 计算量非常大。

一种虚假的安全感使用HTTPS只为登录页面时，就是你敞开大门，欢迎到会话劫持（当然，这比送反正在明确了用户名/密码更好）;这最近使用Firesheep更容易做到（或者更受欢迎）（尽管问题本身已经存在了很长时间）。

，可以减缓HTTPS的另一个问题是，一些浏览器可能不缓存它们检索，通过HTTPS内容的事实，所以他们将不得不重新下载（例如背景图片为您经常访问的网站）。

这是说，如果你不需要传输安全（防止攻击者观看或改变多数民众赞成交换的数据，无论哪种方式），普通HTTP是好的。

Answer 2

HTTPS可能非常缓慢，并且对于图像等事物而言是不必要的。

Answer 3

主要表现的原因。 SSL需要额外的（服务器）CPU时间。但是，这些开销现在已经变得越来越小，一些大型网站已经转换为默认的HTTPS（例如GMail--参见Bruno的回答）。

Answer 4

如果你不发送需要是安全的数据，HTTPS的开销是没有必要的。

查看此SO线程以了解有关差异的详细讨论。 HTTP vs HTTPS performance

Answer 5

而且不那么重要的事情。防火墙不要忘记通常在端口443上实现HTTPS。 在某些组织中，这些端口未在防火墙或透明代理中配置。