全站https 全站https加密 如何看待百度全站采用HTTPS加密搜索?HTTPS的优缺点?

如今百度已全站开启了HTTPS安全加密搜索,那么,我们该如何看待百度全站采用HTTPS加密搜索呢?

如今,越来越多的网站和服务开始启动加密,HTTPS加密Web流量占到总流量的一半,其中YouTube这样的流媒体网站首次有50%的流量是经过HTTPS,这一切证明了Web的完整加密是可行的。

百度自2014年底起,开始对部分地区开放了HTTPS加密搜索服务,如今百度已全站开启了HTTPS安全加密搜索,那么,我们该如何看待百度全站采用HTTPS加密搜索呢?

HTTPS在保护用户隐私,防止流量劫持方面发挥着非常关键的作用,但与此同时,HTTPS也会降低用户访问速度,增加网站服务器的计算资源消耗。

百度在工程开发上几乎不做没有性价比的事情,所以我们先看看https这个事情在技术上的投入在哪里?

一、百度启用了HTTPS加密搜索

从2014年底开始,百度在部分地区开始对其搜索启用了HTTPS加密(VeriSign签发的证书),百度HTTPS相关负责人指出,此举致力于为用户提供一个安全可靠的网络环境(具体可查看吕杭泽《详解HTTP与HTTPS的10大区别与不同》一文的相关介绍)。

当你网购的时候,你输入银行信息后按继续,在与银行网站对接的过程中,你的付款信息在网络传输过程中,是被加密的,这是为了确保使客户与服务器应用之间的通信不被攻击者窃听。

二、在性能方面的影响

1、网络耗时变长,用户从http跳转到https还要一点时间。

2、机器性能,https要多做一次RSA校验。

3、CDN,全国所有节点要支持https才行,另外,如果面对DDOS,https的解决方案也会复杂得多。

三、对周边系统的影响

1、页面里所有嵌入的资源都要改成https的,这些资源可能会来自不同的部门甚至不同的公司,包括:图片、js、form表单等等,否则浏览器就会报警。

2、手机百度这类使用了百度搜索服务的客户端产品,也可能要修改。
全站https 全站https加密 如何看待百度全站采用HTTPS加密搜索?HTTPS的优缺点?

3、解决第三方网站看不到refer的问题。

4、所有的开发、测试环境都要做https的升级。

还有,上线前肯定是一大堆预案,保证切换过程顺畅,所以说下来,https这个事情的投入真心很大,不是说换就换的。

好了,那么我们用HTTPS,能带来什么好处呢?吕杭泽认为,就是用户的搜索安全,至于原因可能有以下几点:

1、被运营商强插广告,甚至在正常结果前面插一条广告。

2、有的时候劫持代码还会写错,导致用户访问白屏或者报错。

3、手机上被浏览器或者什么卫士篡改或者劫持。

4、最恶心的是泄露用户数据,经常在网上看到说:“我用百度搜了一个黄金,马上就有人联系我了”“我在百度上搜了一种病,马上医院就来电话了”。

5、另外,对百度的收入也有影响、有不少公共wifi自动会自动给百度搜索加一个联盟的计费id。

其实在搜索HTTPS很久之前,百度就做了搜索结果url加密,我想应该是基于类似的考虑。

很多互联网公司在做大的时候都会遇到这个问题:https成本高,速度又慢,规模小的时候在涉及到登录和交易用上就够了,做大以后遇到信息泄露和劫持,想整体换,代价又很高。

四、HTTPS对访问速度的影响

在介绍速度优化策略之前,先来看下HTTPSwWW.aIhUaU.cOm对速度有什么影响,在笔者看来,其影响主要来自两方面:

①、协议交互所增加的网络RTT(round trip time)。

②、加解密相关的计算耗时。

卡内基梅隆大学、西班牙电信和都灵理工大学的研究人员在ACM CoNEXT上发表了一篇论文(PDF),量化了网站从HTTP切换到HTTPS所付出的代价。

研究人员分析了启用加密对延迟、消耗数据和客户端电池寿命的影响,他们发现,HTTPS的“S”会使得页面加载时间增加了50%,增加10%到20%的耗电,此外,HTTPS还会影响缓存增加数据开销和功耗,以及父母控制和病毒扫描等也会受到影响。

下面笔者分别跟大家介绍一下:

1、网络耗时增加

由于HTTP和HTTPS都需要DNS解析,并且大部分情况下使用了DNS缓存,为了突出对比效果,忽略主域名的DNS解析时间。

可见,用户只需要完成TCP三次握手建立TCP连接就能够直接发送HTTP请求获取应用层数据,此外在整个访问过程中也没有需要消耗计算资源的地方。

接下来看HTTPS的访问过程,相比HTTP要复杂很多,在部分场景下,使用HTTPS访问有可能增加7个RTT,如下图:

HTTPS首次请求需要的网络耗时解释如下:

①、三次握手建立TCP连接,耗时一个RTT。

②、使用HTTP发起GET请求,服务端返回302跳转到https://www.seozxb.com,需要一个RTT以及302跳转延时。

a、大部分情况下用户不会手动输入https://www.seozxb.com来访问HTTPS,服务端只能返回302强制浏览器跳转到https。

b、浏览器处理302跳转也需要耗时。

③、三次握手重新建立TCP连接,耗时一个RTT。

302跳转到HTTPS服务器之后,由于端口和服务器不同,需要重新完成三次握手,建立TCP连接。

④、TLS完全握手阶段一,耗时至少一个RTT。

a、这个阶段主要是完成加密套件的协商和证书的身份认证。

b、服务端和浏览器会协商出相同的密钥交换算法、对称加密算法、内容一致性校验算法、证书签名算法、椭圆曲线(非ECC算法不需要)等。

c、浏览器获取到证书后需要校验证书的有效性,比如是否过期,是否撤销。

⑤、解析CA站点的DNS,耗时一个RTT。

a、浏览器获取到证书后,有可能需要发起OCSP或者CRL请求,查询证书状态。

b、浏览器首先获取证书里的CA域名。

c、如果没有命中缓存,浏览器需要解析CA域名的DNS。

⑥、三次握手建立CA站点的TCP连接,耗时一个RTT。

DNS解析到IP后,需要完成三次握手建立TCP连接。

⑦、发起OCSP请求,获取响应。耗时一个RTT。

⑧、完全握手阶段二,耗时一个RTT及计算时间。

完全握手阶段二主要是密钥协商。

⑨、完全握手结束后,浏览器和服务器之间进行应用层(也就是HTTP)数据传输。

当然不是每个请求都需要增加7个RTT才能完成HTTPS首次请求交互,据笔者了解,大概只有不到0.01%的请求才有可能需要经历上述步骤,它们需要满足如下条件:

①、必须是首次请求,即建立TCP连接后发起的第一个请求,该连接上的后续请求都不需要再发生上述行为。

②、必须要发生完全握手,而正常情况下80%的请求能实现简化握手。

③、浏览器需要开启OCSP或者CRL功能,Chrome默认关闭了ocsp功能,firefox和IE都默认开启。

④、浏览器没有命中OCSP缓存,Ocsp一般的更新周期是7天,firefox的查询周期也是7天,也就说是7天中才会发生一次ocsp的查询。

⑤、浏览器没有命中CA站点的DNS缓存,只有没命中DNS缓存的情况下才会解析CA的DNS。

2、计算耗时增加

上节还只是简单描述了HTTPS关键路径上必须消耗的纯网络耗时,没有包括非常消耗CPU资源的计算耗时,事实上计算耗时也不小(30ms以上),从浏览器和服务器的角度分别介绍一下:

①、浏览器计算耗时

a、RSA证书签名校验,浏览器需要解密签名,计算证书哈希值,如果有多个证书链,浏览器需要校验多个证书。

b、RSA密钥交换时,需要使用证书公钥加密premaster,耗时比较小,但如果手机性能比较差,可能也需要1ms的时间。

c、ECC密钥交换时,需要计算椭圆曲线的公私钥。

d、ECC密钥交换时,需要使用证书公钥解密获取服务端发过来的ECC公钥。

e、ECC密钥交换时,需要根据服务端公钥计算master key。

f、应用层数据对称加解密。

g、应用层数据一致性校验。

②、服务端计算耗时

a、RSA密钥交换时需要使用证书私钥解密premaster,这个过程非常消耗性能。

b、ECC密钥交换时,需要计算椭圆曲线的公私钥。

c、ECC密钥交换时,需要使用证书私钥加密ECC的公钥。

d、ECC密钥交换时,需要根据浏览器公钥计算共享的master key。

e、应用层数据对称加解密。

f、应用层数据一致性校验。

由于客户端的CPU和操作系统种类比较多,所以计算耗时不能一概而论,手机端的HTTPS计算会比较消耗性能,单纯计算增加的延迟至少在50ms以上,PC端也会增加至少10ms以上的计算延迟。

服务器的性能一般比较强,但由于RSA证书私钥长度远大于客户端,所以服务端的计算延迟也会在5ms以上。

五、HTTPS协议为何没在互联网上全面采用?

很多人会有一个疑问:https够不够呢?肯定是不够的,但是没有更好的方案了,可为什么更安全的HTTPS协议没有在互联网上全面采用呢?简单来说,有以下几点:

1、SSL证书需要钱,功能越强大的证书费用越高,个人网站、小网站没有必要一般不会用。

2、SSL证书通常需要绑定IP,不能在同一IP上绑定多个域名,IPv4资源不可能支撑这个消耗。(SSL有扩展可以部分解决这个问题,但是比较麻烦,而且要求浏览器、操作系统支持,Windows XP就不支持这个扩展,考虑到XP的装机量,这个特性几乎没用。)

3、HTTPS连接缓存不如HTTP高效,大流量网站如非必要也不会采用,流量成本太高。

4、HTTPS连接服务器端资源占用高很多,支持访客稍多的网站需要投入更大的成本,如果全部采用HTTPS,基于大部分计算资源闲置的假设的VPS的平均成本会上去。

5、HTTPS协议握手阶段比较费时,对网站的相应速度有负面影响,如非必要,没有理由牺牲用户体验。

6、最关键的,SSL证书的信用链体系并不安全,特别是在某些国家(你们懂的)可以控制CA根证书的情况下,中间人攻击一样可行。

另外,在客户端被植入无数后门、木马的状况下,HTTPS连接的作用非常有限,这也许是支付宝不可能像PayPal那么易用的原因之一。

点评:

HTTPS是超文本传输协议,是HTTP的加密版和安全版,或者说搜索引会认为这种“带锁”的页面,这种页面一般用于银行、金融、网上支付对通讯安全要求较高的网站,搜索引擎并不太喜欢收录这些页面,可能只收录一些重要的页面,所以说全站HTTPS对SEO影响很大,搜索引擎还不能很好的收录HTTPS协议页面。

鉴于此,你可以分别使用HTTP和HTTPS,对于想要收录和排名的页面使用HTTP,或者网站上一些重要的页面,比如:首页,业务介绍页面等,可以允许HTTP形式也可以访问。以上是用户分享关于如何看待百度全站采用HTTPS加密搜索?HTTPS的优缺点?的资料希望对您有所帮助了,感谢您对爱华网的支持!  

爱华网本文地址 » http://www.aihuau.com/a/395851/30155224351.html

更多阅读

如何申请百度账号 如何注册百度账号登录

如何申请百度账号——简介搜索用得最多的就是百度了,我们可以从百度上得到海量的信息,但是如果想用百度的更多的服务,需要有一个百度账号,我们可以申请一个百度账号来体验更多服务。这是一个求助经验,可能还有很多新手不知道怎么拥有一个

如何使用百度网民权益保障计划维权 妇女权益保障法

如何使用百度网民权益保障计划维权——简介 最近,百度与中国消费者协会联合发起的首个搜索引擎网民权益保障体系。今天这里,要说的是,当你在使用百度点击 “推广链接” 时遭遇钓鱼欺诈、假冒并造成实际损失,可享有一定额度的保障金。

如何在百度文库里发表文章 百度文库怎么发表文章

如何在百度文库里发表文章——简介在百度文库里,好多精彩的文章都值得我们去借鉴,可是,如果你也想把自己的文章发表到文库中,让大家欣赏一下,该怎么做呢?如何在百度文库里发表文章——工具/原料电脑如何在百度文库里发表文章——方法/步

如何在百度搜索word文档 word文档如何搜索

如何在百度搜索word文档——简介今天小编给大家分享如何在百度搜索word文档。如何在百度搜索word文档——方法一如何在百度搜索word文档 1、打开浏览器,在搜索栏输入想要搜索的内容的关键词比如“申请书”然后在后面添加后缀“.doc

声明:《全站https 全站https加密 如何看待百度全站采用HTTPS加密搜索?HTTPS的优缺点?》为网友每个人的晴天分享!如侵犯到您的合法权益请联系我们删除