我考虑的不是只为 HTTPS 访问选择几个页面,而是为我的整个站点使用 SSL。
这样做有什么缺点?
编辑 2014 年 8 月 7 日
Google 现在将 HTTPS 纳入排名中,因此您绝对应该在整个网站上使用 SSL:
http://googleonlinesecurity.blogspot.com/2014/08/https-as-ranking-signal_6.html
最佳答案
目前强烈建议尽可能在 TLS(即 https)上运行整个站点。
开销问题已成为过去,它不再是较新的 TLS 协议(protocol)的问题,因为它现在维护 session ,甚至缓存它们以便在客户端断开连接时重用。在过去,情况并非如此。这意味着今天,您唯一需要进行公钥加密(cpu 繁重的类型)是在建立连接时。因此,无论如何,当您拥有证书时,实际上并没有任何缺点。这意味着您不必在 http 和 https 之间来回发送人员,客户将始终在他们的浏览器中看到锁定标志。
Firesheep 发布后,这个主题引起了额外的关注。 .正如您可能听说过的那样,Firesheep 是一个 Firefox 插件,可以让您轻松地(如果你们都使用相同的开放 wifi 网络)劫持其他人在 Facebook、Twitter 等网站上的 session 。之所以可行,是因为这些网站只选择性地使用 TLS,并且如果在整个站点范围内启用 TLS,这对他们来说就不是问题。
因此,总而言之,缺点(例如增加的 CPU 使用)在当前技术状态下可以忽略不计,优点很明显,所以通过 SSL/TLS 提供所有内容!这就是现在的方式。
编辑:正如其他答案中提到的,在没有 SSL/TLS 的情况下提供网站的某些内容(如图像)的另一个问题是,客户/用户会收到非常烦人的“不安全内容”安全页面”消息。
另外,作为 stated by thirtydot ,您应该将人们重定向到 https 站点。您甚至可以启用使您的服务器拒绝非 SSL 连接的标志。
另一个编辑: 正如 a comment below 中指出的那样,请记住,SSL/TLS 并不是满足您网站所有安全需求的唯一解决方案,还有很多其他考虑因素,但它确实为用户解决了一些安全问题,并且很好地解决了这些问题(尽管有一些方法做一个中间人,即使使用 SSL/TLS)
关于ssl - 在整个网站上使用 SSL,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4515283/