HTTPS的誤解(一)

大家好，SSL證書(shū)越來(lái)越受到人們的關(guān)注，經(jīng)常有人會(huì)說(shuō)HTTPS只有登錄頁(yè)才需要，而且會(huì)使網(wǎng)站速度下降，易維信（EVTrust）給大家澄清了一些HTTPS協(xié)議容易產(chǎn)生誤解的地方，增長(zhǎng)一些網(wǎng)頁(yè)加密通信的知識(shí)。

誤解一：只有注冊(cè)登錄頁(yè)，才需要HTTPS

這種想法很普遍。人們覺(jué)得，HTTPS可以保護(hù)用戶(hù)的密碼，此外就不需要了。Firefox瀏覽器新插件Firesheep，證明了這種想法是錯(cuò)的。我們可以看到，在Twitter和Facebook上，劫持其他人的session是非常容易的。

咖啡館的免費(fèi)WiFi，就是一個(gè)很理想的劫持環(huán)境，因?yàn)閮蓚€(gè)原因：

1. 這種WiFi通常不會(huì)加密，所以很容易監(jiān)控所有流量。

2. WiFi通常使用NAT進(jìn)行外網(wǎng)和內(nèi)網(wǎng)的地址轉(zhuǎn)換，所有內(nèi)網(wǎng)客戶(hù)端都共享一個(gè)外網(wǎng)地址。這意味著，被劫持的session，看上去很像來(lái)自原來(lái)的登錄者。以Twitter為例，它的登錄頁(yè)使用了HTTPS，但是登錄以后，其他頁(yè)面就變成了HTTP。這時(shí)，它的cookie里的session值就暴露了。也就是說(shuō)，這些cookie是在HTTPS環(huán)境下建立的，但是卻在HTTP環(huán)境下傳輸。如果有人劫持到這些cookie，那他就能以你的身份在Twitter上發(fā)言了。

誤解二：有了HTTPS，Cookie和查詢(xún)字符串就安全了

雖然無(wú)法直接從HTTPS數(shù)據(jù)中讀取Cookie和查詢(xún)字符串，但是你仍然需要使它們的值變得難以預(yù)測(cè)。

比如，曾經(jīng)有一家英國(guó)銀行，直接使用順序排列的數(shù)值表示session id:

***可以先注冊(cè)一個(gè)賬戶(hù)，找到這個(gè)cookie，看到這個(gè)值的表示方法。然后，改動(dòng)cookie，從而劫持其他人的session id。至于查詢(xún)字符串，也可以通過(guò)類(lèi)似方式泄漏。

誤解三：HTTPS太慢

使用HTTPS不會(huì)使你的網(wǎng)站變得更快（實(shí)際上有可能，請(qǐng)看下文），但是有一些技巧可以大大減少額外開(kāi)銷(xiāo)。

首先，只要壓縮文本內(nèi)容，就會(huì)降低解碼耗用的CPU資源。不過(guò)，對(duì)于當(dāng)代CPU來(lái)說(shuō)，這點(diǎn)開(kāi)銷(xiāo)不值一提。

其次，建立HTTPS連接，要求額外的TCP往返，因此會(huì)新增一些發(fā)送和接收的字節(jié)。但是，從下圖可以看到，新增的字節(jié)是很少的。

第一次打開(kāi)網(wǎng)頁(yè)的時(shí)候，HTTPS協(xié)議會(huì)比HTTP協(xié)議慢一點(diǎn)，這是因?yàn)樽x取和驗(yàn)證SSL證書(shū)的時(shí)間。下面是一張HTTP網(wǎng)頁(yè)打開(kāi)時(shí)間的瀑布圖。

同一張網(wǎng)頁(yè)使用HTTPS協(xié)議之后，打開(kāi)時(shí)間變長(zhǎng)了。

建立連接的部分，大約慢了10%。但是，一旦有效的HTTPS連接建立起來(lái)，再刷新網(wǎng)頁(yè)，兩種協(xié)議幾乎沒(méi)有區(qū)別。先是HTTP協(xié)議的刷新表現(xiàn)：

然后是HTTPS協(xié)議：

某些用戶(hù)可能發(fā)現(xiàn)，HTTPS比HTTP更快一點(diǎn)。這會(huì)發(fā)生在一些大公司的內(nèi)部局域網(wǎng)，因?yàn)橥ǔＧ闆r下，公司的網(wǎng)關(guān)會(huì)截取并分析所有的網(wǎng)絡(luò)通信。但是，當(dāng)它遇到HTTPS連接時(shí)，它就只能直接放行，因?yàn)镠TTPS無(wú)法被解讀。正是因?yàn)樯倭诉@個(gè)解讀的過(guò)程，所以HTTPS變得比較快。