DIV CSS 佈局教程網

相信大家在浏覽百度、淘寶等一些大型網站時都會看到他們其實都啟用了https，近段時間也發現很多小網站買了SSL證書上了HTTPS，很多站長也在觀望中，網站到底有沒有必要用HTTPS？這裡我們詳細了解下HTTP和HTTPS網站的一些優缺點。

什麼是https？

HTTPS（全稱：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全為目標的HTTP通道，簡單講是HTTP的安全版，即HTTP下加入SSL層，HTTPS的安全基礎是SSL，因此加密的詳細內容就需要SSL。 HTTPS存在不同於HTTP的默認端口及一個加密/身份驗證層（在HTTP與TCP之間）。這個系統提供了身份驗證與加密通訊方法。現在它被廣泛用於萬維網上安全敏感的通訊，例如交易支付方面。

傳統的HTTP模式，存在著大量的灰色中間環節，相關信息很容易被竊取，但HTTPS卻是通過認證用戶與服務器，將數據准確地發送到客戶機與服務器，並采用加密方式以防數據中途被盜取，大大降低了第三方竊取信息、篡改冒充身份的風險。

http與https有什麼不一樣？

HTTP工作原理：

①客戶端的浏覽器首先要通過網絡與服務器建立連接，該連接是通過TCP來完成的，一般TCP連接的端口號是80。 建立連接後，客戶機發送一個請求給服務器，請求方式的格式為：統一資源標識符（URL）、協議版本號，後邊是MIME信息包括請求修飾符、客戶機信息和許可內容。

②服務器接到請求後，給予相應的響應信息，其格式為一個狀態行，包括信息的協議版本號、一個成功或錯誤的代碼，後邊是MIME信息包括服務器信息、實體信息和可能的內容。

HTTPS的工作原理：

①客戶端將它所支持的算法列表和一個用作產生密鑰的隨機數發送給服務器。

②服務器從算法列表中選擇一種加密算法，並將它和一份包含服務器公用密鑰的證書發送給客戶端；該證書還包含了用於認證目的的服務器標識，服務器同時還提供了一個用作產生密鑰的隨機數。

③客戶端對服務器的證書進行驗證(有關驗證證書，可以參考數字簽名)，並抽取服務器的公用密鑰；然後，再產生一個稱作pre_master_secret的隨機密碼串，並使用服務器的公用密鑰對其進行加密(參考非對稱加/解密)，並將加密後的信息發送給服務器。

④客戶端與服務器端根據pre_master_secret以及客戶端與服務器的隨機數值獨立計算出加密和MAC密鑰(參考DH密鑰交換算法)。

⑤客戶端將所有握手消息的MAC值發送給服務器。

⑥服務器將所有握手消息的MAC值發送給客戶端。

網站到底要不要做HTTPS？

百度站長社區曾經做了一個調研，大多數人對HTTPS持觀望態度，他們對HTTPS安全性是認可的，但是從各個層面進行考慮後，做出了目前不做HTTPS網站的決定，主要有以下兩種觀點：

正方觀點：

1、HTTPS具有更好的加密性能，避免用戶信息洩露；

2、HTTPS復雜的傳輸方式，降低網站被劫持的風險；

3、搜索引擎已經全面支持HTTPS抓取、收錄，並且會優先展示HTTPS結果；

4、從安全角度來說個人覺得要做HTTPS，不過HTTPS可以采用登錄後展示；

5、HTTPS綠鎖表示可以提升用戶對網站信任程度；

6、基礎成本可控，證書及服務器已經有了成型的支持方案；

7、網站加載速度可以通過cdn等方式進行彌補，但是安全不能忽略；

8、HTTPS是網絡的發展趨勢，早晚都要做；

9、可以有效防止山寨、鏡像網站；

反方觀點：

1、HTTPS會降低用戶訪問速度，增加網站服務器的計算資源消耗；

2、目前搜索引擎只是收錄了小部分HTTPS內容，應該保持觀望制度；

3、HTTPS需要申請加密協議，增加了運營成本；

4、百度目前對HTTPS的優先展現效果不明顯，谷歌較為明顯；

5、技術門檻較高，無從下手；

6、目前站點不涉及私密信息，無需HTTPS；

7、兼容性有待提升，如robots不支持/聯盟廣告不支持等；

8、HTTPS網站的安全程度有限，該被黑還是被黑；

9、HTTPS維護比較麻煩，在搜索引擎支持HTTP的情況，沒必要做HTTPS；

雖然谷歌和百度都對HTTPS“另眼相看”，但這並不意味著站長們都應該把網站協議轉換成HTTPS!

如果站長在采用HTTPS協議後仍需制作個“HTTP可訪問版”、或是通過301重定向“自動跳入HTTPS版本”。那麼，采用HTTPS協議的代價就不再只是多花MONEY的問題了。

在思考“到底該不該采用HTTPS協議”這個問題時，多考慮考慮怎樣做對你的用戶更友好吧!

如果你的網站屬於電子商務、金融、社交網絡等領域的話，那最好是采用HTTPS協議;如果是博客站點、宣傳類網站、分類信息網站、或者是新聞網站之類的話，大可不必跟風而行，畢竟HTTPS協議不僅耗錢，浪費精力，而且暫時也不利於網站的SEO工作，但是隨著互聯網的發展，隨著技術的發展https很多缺點是可以優化和彌補的，比如：打開速度問題完全可以通過CDN加速解決，很多IDC也在著手推出免費證書和一站式HTTPS搭建服務，HTTPS成本在未來將會大大縮小！