做为一家安全公司,我们在站点Stormpath上经常被开发者问到的是有关安全方面最优做法的问题。其中一个被经常问到的问题是: 我是否应当在站点上运行HTTPS? 很不幸,查遍整个因特网,你大多数情况下会得到同样的建议:加密所有的东西!对所有站点进行SSL加密等等!然而,现实情况表明这通常不是一个好的建议。 许多情况下使用HTTP比使用HTTPS要好很多。事实上,HTTP是一个在性能上和可用性上比HTTPS更好的一种协议,这也就是我们经常推荐客户使用HTTP的原因。下面我们说一说我们的理由...... 使用 HTTPS 会出现的问题HTTPS 是一个错漏百出的协议. 此协议及其现今流行的实现中许许多多众所周知的问题使得它不适用于许多各种各样的web服务。 HTTPS 十分缓慢
应用 HTTPS 的主要阻碍之一就是 HTTPS 协议十分缓慢的这一事实。
就其特性而言,HTTPS 就是在两端之间进行安全的加密通信。这需要两端都持续耗费宝贵的CPU时间周期:
而这听起来不是特别形象,其实就是加密代码运行的是CPU密集型的操作。它会重度使用浮点运算的CPU寄存器,会征用你的CPU从而使得请求的处理变慢。
这里有一个内容十分丰富的 ServerFault 线程,展示了在使用代用 Apache2 的一个 Ubuntu 服务器时,相比之下的处理速度你所能预计会有多大的降低:http://serverfault.com/questions/43692/how-much-of-a-performance-hit-for-https-vs-http-for-apache。
如下是结果:
即使是像上面所展示的一个非常简单的示例,HTTPS也能将你的Web服务器的速度拖慢超过40倍! 这可拖了web性能很大的后腿.
在今天的环境中, 将你的应用程序作为 REST API 的一个组成部分来构建是很普遍的 — 使用 HTTPS 确实是会拖慢你的网站、影响你的应用程序性能并给你的服务器CPU带来不必要的冲击的一种方式,而且通常会惹恼你的用户。
对于许多对速度敏感的应用程序而言,使用原始的 HTTP 常常要好很多。 HTTPS 不是一个放之四海而皆准的安全保障
许多人都会抱有 HTTPS 会让他们的站点更安全,这样一种印象。这其实不是真的。
HTTPS 只是对你和服务器之间的流量进行了加密 — 一旦HTTPS信息的传输中断了,一切就又都是一场公平的游戏。
这意味着如果你的计算机已经感染的了恶意软件,或者你已经被受到欺骗运行了某些恶意软件 — 这个世界上所有的HTTPS对于你而言也都无能为力了。
此外,如果 HTTPS 服务器上存在任何的漏洞,某些攻击者就能够简单的等到 HTTPS 已经处理结束,然后再在其它的层(例如 web 服务这一层)抓取到不管什么数据。 SSL 证书本身也经常被滥用。比如,其在浏览器上的处理方式就很容易发生错误:
以上种种,著名证书授权机构错误地签名了大量的伪造和欺诈的证书,直接损害数以万计的Mozilla用户的安全。 而 HTTP 并没有提供任何形式的加密服务,至少你知道你正在处理什么东西。 |
