微信号:freebuf

介绍:国内关注度最高的全球互联网安全新媒体

慎用免费HTTPS:看似美好的免费“通用SSL证书”

2014-10-04 20:41 Mystery

上个月月底,CloudFlare宣布向所有客户提供免费的SSL支持。一时间,全世界的云计算供应商以及开发者大为欣喜,首先作为一个网站管理员,他可以在更小的成本下为客户提供更加安全的服务,并且Google在早些时候也发布公告说对使用HTTPS的网站进行优先排名。


但是这块蛋糕真的和大家说的那样好吗?经过一些简单的研究,我们发现了这项服务存在的一些弊端:


1、根据CloudFlare的官方博客,我们可以看到,首先CloudFlare只支持扩展支持Server Name Indication(SNI)协议的现代浏览器,而根据官方的数据统计,中国只有58.22%的HTTP请求符合这一协议,那就意味着如果你是一个中国本土的网站管理员,你如果想要使用CloudFlare的这项免费服务,你就要丢失接近一半的用户。



2、CloudFlare作为一家CDN提供商,他为免费用户提供的服务室不完整的,根据官网SSL服务的介绍,CloudFlare仅会在浏览器与CloudFlare的通讯中加密,CloudFlare与本地服务器的通讯本身并没有加密。网站管理员仍然要购买SSL认证,才可以全面加密。虽然免费版不能全面加密,但能够做到上述这样,已经总比没有的好很多。对于各位用户来说,日后上网看网站就可以更加安心了。



3、最后一点是政策风险,不知大家是否记得以前曾经有一个G开头的国外公司可以免费提供一个长达一年的SSL证书?我想不少人也肯定是用过的,但是据反映,一些流量大,涉及到评论、交流的网站最后都消失在了中国的互联网上。至于个中细节和原因不再赘述,目前国内带有SSL证书的主流网站还是很少的,尤其是百度对https网站的不友好大家也是有目共睹的。


不是说只要有提供免费的厂商我们就要抨击,本文的目的只是希望各位网站管理员可以权衡利弊,不要见到免费的就不假思索的就去使用,毕竟你还是要对你的网站访客负责,在中国的大环境下,我们要做的还有很多很多。


 
FreeBuf 更多文章 一周海外安全事件回顾(9.22-9.28):黑客的下一个攻击工具 – 电冰箱 黑客电影《我是谁 – 没有绝对安全的系统》预告片(FB视频组) 思科为何斥资近3亿美元收购云安全提供商CloudLock? 「数」说FreeBuf六周年,感谢有你 高通芯片存缺陷,可破解Android全磁盘加密
猜您喜欢 App 架构经验总结 【第71期】经验分享!如何才能成为一名成功的设计师? 现代Web开发需要学习的15大技术 Windows微信DPI适配 Android线程,线程池使用及原理博文参考