为什么HTTPS比HTTP更优越
【HTTPS 是安全的】
HTTPS 是一个业绩优良的很棒的协议. 虽然这些年来有过几次针对其漏洞的利用事件发生, 但它们一直都是相对较为轻微的问题,而且也很快被修复了.
而诚然,NSA确实在某个阴暗的角落收集着SSL流量, 但他们能够解密即使是很少量SSL流量的可能性都是极小的 — 这会需要快速的,功能齐全的量子计算机,并耗费数量惊人的钞票. 这玩意存在的可能性貌似不存在,因此你可以高枕无忧了,因为你知道你的站点上的SSL证书确实在为你的用户数据传输保驾护航.
【HTTPS 是快速的】
HTTPS 确实需要更多的CPU来中断SSL 连接 — 这需要的处理能力对于现代计算机而言是小菜一碟了. 你会遇到SSL性能瓶颈的可能性完全为0.目前你更有可能在你的应用程序或者web服务器性能上遇到瓶颈.
【HTTPS 是一个重要保障】
虽然 HTTPS 并不放之四海而皆准的web安全方案,但是没有它你就不能以策万全.所有的web安全都倚赖你拥有了 HTTPS. 如果你没有它, 那么不管你对你的密码做了多强的哈希加密,或者做了多少数据加密,攻击者都可以简单的模拟一个客户端的网络连接,读取它们的安全凭证——然后轰的一声——你的安全小把戏结束了.
因此 — 虽然你不能有赖于HTTPS解决所有的安全问题,你绝对100%需要将其应用于你构建的所有服务上 — 否则完全没有任何办法保证你的应用程序的安全.
此外,虽然证书签名很显然不是一个完美的实践,但每一种浏览器厂商针对认证机构都有相当严格和严谨的规则. 要成为一个受到信任的认证机构是非常难的,而且要保持自己良好的信誉也同样是困难的.Mozilla (以及其其他厂商) 在将不良根认证机构踢出局这项工作方面表现相当出色,而且一般也真正是互联网安全的好管家.
【HTTPS 流量拦截是可以避免】
先前我提到过,可以很容易的通过创建属于你自己的SSL证书、信任它们,从而在SSL通讯的中途拦截到流量.虽然这绝对有可能,但也很容易可以通过SSL 证书钢钉来避免.
本质上讲,依照上面链接的文章中给出的准则, 你可以是的你的客户只去信任真正可用的SSL证书,有效的阻挡所有类型的SSL MITM攻击,甚至在它们开始之前
如果你是要把SSL服务部署到一个不受信任的位置(像是一个移动或者桌面应用), 你最应该考虑使用SSL证书钢钉.
【HTTPS也有免费午餐】
虽然历史上HTTPS曾经昂贵过,而这是事实 — 但再也不是这样了. 如今你能够从CA机构那里买到非常便宜的甚至是免费的SSL证书.如沃通CA和letsencrypt,沃通CA目前已经退出了免费多域名SSL证书(http://freessl.wosign.com),而letsencrypt预计在2015 中旬才推出, 免费SSL证书必然将改变所有web开发者的游戏规则. 一旦让加密的方案上线,你就能够对你的网站和服务进行100%的加密,完全没有任何花费.
【HTTP 在私有网络上不安全】
早些时候,在谈到HTTP的安全性怎么是不重要的,特别是如果你的网络被锁上(这里的意思是切断了同公共网络的联系) — 我是在骗你。而网络安全是重要的,传输的加密也是!
如果一个攻击者获得了对你的任何内部服务的访问权限,所有的HTTP流量都将会被拦截和解读, 不管你的网络可能会有多“安全”. 这很不妙哦。这就是为什么 HTTPS 不管是在公共网络还是私有网络都极其重要的原因。
额外的信息: 如果你是吧服务部署在AWS上面,就不要想让你的网络流量是私有的了! AWS 网络就是公共的,这意味着其它的AWS用户都潜在的能够嗅探到你的网络流量 — 要非常小心了。
总结
如果你正在做网页服务,毫无疑问,你应该使用HTTPS。它很容易、廉价,且能获得用户信任,没有理由不用它。作为码农,必须要承担起保护用户的重任,要做到那点,方法之一就是强制使用HTTPS。
本文来源:开源中国社区http://www.oschina.net/news/61343/team-https 翻译者:LeoXu、码农一只