随着SSL证书和HTTPS的普及化,很多企业和个人站长都把HTTPS加密使用到自己的网站中,但很多用户对SSL证书和HTTPS对网站安全起的作用太过于夸大,认为只要使用了SSL证书,完成HTTPS化,网站的安全就不用担心了。显然这是很片面的想法,小编总结了用户常见的几个问题和误区,在这里统一作出答复,希望能够对用户朋友们有所帮助。
问题一:SSL证书可以加密所有数据?
SSL证书只加密传输中的数据,不加密其他数据,诸如cookie和session等存储数据,SSL证书是不对其进行加密的。我们建议企业应该在储存数据时先确保数据的安全性,然后再进行数据的保存。
问题二:数据加密之后就是绝对安全的数据?
数据进过SSL证书加密后需要密钥进行解密,很多CA机构并没有很好的管理他们的加密密钥,导致密钥被黑客获取,这时候黑客就可以很轻松的对数据进行解密。值得注意的是,互联网中没有绝对安全的数据,安全永远都是相对的,如果有人敢打绝对的保票,那一定是个骗子。
问题三:网站登录页面、支付页面才需要用到HTTPS?
这是非常危险的想法,相信许多宣传SSL证书和HTTPS的网站都不会做这样的表述,我们建议是,全站做HTTPS,但如果受限于技术等各方面原因,网站暂时无法实现全站HTTPS,那么先实现登录、支付等页面的HTTPS无疑是更好的选择。
问题四:SSL证书太贵了,动不动一年就要好几千?
不说别家,就说Gworg 证书种类就有很多种,从几百块到几万块一年都有,相对的安全级别肯定是不一样。如果用户觉得太贵了,可以使用购买几百块钱的证书,相对于安全方面来说,这应该不算贵吧。目前淘宝也可以购买Gworg证书,每期都有活动的。
问题五:网站使用HTTPS之后,打开明显变慢了?
这个是确实存在的问题,使用SSL证书之后,数据需要加密后在传输,而且数据加密后还需要解密,会消耗更多的服务器资源,这是无法避免的问题,我们要做的是更好的优化好站内,使用CDN加速,开启Gzip压缩等。