这是一个创建于 3242 天前的主题,其中的信息可能已经有所发展或是发生改变。
淘宝就不用说了,刚发现知乎,豆瓣也有 https 版本。话说网站搞 https 额外投入大么,它们是不是在前端有个什么设备专门作硬件加密?
 |
1
lelsetsuna 2015-12-28 13:32:34 +08:00
国内主要是被运营商劫持逼的
|
 |
2
lyragosa 2015-12-28 13:34:39 +08:00
原因就是因为被流量劫持。
如果你要求不高的话, startssl 或者 letsencrypt 就行了,免费。 和硬件设备无关。 个人网站的开不开 https 无所谓,开了可以装个逼格,不开一般也没人劫持你玩。 |
 |
4
maemual 2015-12-28 13:42:27 +08:00
投入不大。
主要的工作是填以前的坑。。。 |
 |
5
slixurd 2015-12-28 13:49:07 +08:00
投入很大
前端机要增强 CPU 和内存,或者加机器,否则 QPS 降低还是挺明显的。 另外所有 CDN 要支持 HTTPS ,如果对 CDN 换域名,还要建一个 Keyless SSL 。 为了保证不被 HTTP->HTTPS 跳转时劫持,这个就只能上全站 HTTPS 和 HSTS 了。 |
 |
6
BOYPT 2015-12-28 13:55:33 +08:00
因为 CDN 都大规模支持 HTTPS 了, 成本已经降低下去了。
|
 |
7
kittyoung 2015-12-28 14:09:21 +08:00
没有 https 你的登录密码都是明文的
|
 |
8
lhbc 2015-12-28 14:39:18 +08:00
硬件投入不大,几乎不需要增加多少硬件资源。
主要是以前的资源升级到 https 的转换工作,对于一个庞大的网站,升级要处理的细枝末节太多了。 另外还有外链资源(比如 js 、 css 、图片),如果资源是自己不能控制的,那就蛋疼了。 社交网站最麻烦,因为嵌入太多外站图片,只能忍受蛋疼的混合资源,还有嵌入的第三方视频。除非出大成本把外链资源通过自己服务器中转。 知乎上 https 是必须的,否则匿名个 P 啊。 豆瓣应该也是劫持者口中的一块肥肉。 B2C , C2C 上 https 的必要性就不需要重复说了,淘宝在这方面做得最好,当然最烂的毫无疑问就是 jd 啦。 |
 |
9
kozora 2015-12-28 14:51:39 +08:00
这就该问各大运营商了 因缺思听
|
 |
11
lihua1358 2015-12-28 15:18:15 +08:00
因为劫持啊,最近今日头条那六家都发表声明了,可是这六家里面居然有某数字和企鹅,印象中他们才是劫持的主力啊
|
|
12
lhbc 2015-12-28 15:23:20 +08:00
|
 |
13
Quaintjade 2015-12-28 15:49:25 +08:00
@lhbc
我觉得理论上 HTTPS 资源消耗应该并不大。 但是我发现 CentOS + Apache + mod_ssl ,似乎每发起一个连接,内存占用就会增加返回文件的大小,不知我哪里设置错了。如果用 nginx 就没问题。 另外,如果没有 OCSP stapling 且客户端访问证书服务期很慢,或者虽然设了但服务期访问证书服务期很慢,而且网站访问量不大,那么首次连接查询证书吊销会比较费时。 |
 |
14
LINAICAI 2015-12-28 15:56:24 +08:00
知乎、今日头条等几个主流网站不是说联合抵制流量劫持吗,所以做了这些措施吧
|
 |
15
BSD 2015-12-28 15:57:20 +08:00  2
然而微博仍没有 https 。。。
|
 |
16
yylzcom 2015-12-28 16:05:14 +08:00 via Android
除了对付流量劫持, HTTP2 的优势也是一个原因吧
|
 |
18
kn007 2015-12-28 17:38:38 +08:00
http2 速度快。。。代价并不高。
|
|
19
lyragosa 2015-12-28 17:39:00 +08:00
反正我试了一下,全站 https 之后群众普遍反应慢。
考虑到群众没有多反馈劫持问题,所以我还是没加全站强制 https ,不过给了手动 https 选项。 |
 |
20
jugelizi 2015-12-28 17:47:11 +08:00
https 当然耗资源的
那也是被逼的 不过也不是一下子就能上去 jd 现在首页 https 也正常了好像 |
 |
22
cmxz 2015-12-28 21:07:41 +08:00
@lhbc https://www.jd.com 购物车和结算页也支持。其他也都在稳步推进中
|
 |
23
redsonic 2015-12-28 22:04:39 +08:00
反正最近卖 ssl 加速卡的乐坏了。
|
 |
24
shyling 2015-12-28 22:11:47 +08:00
=。=防劫持啊=。=绿锁好看啊
|
 |
27
unique 2015-12-28 23:40:49 +08:00
迎接 http2 的到来?
|
 |
29
hcl 2015-12-28 23:48:08 +08:00
看到有新闻说 HTTPS 可以提高网站排名。。
|
|
31
cmxz 2015-12-28 23:50:13 +08:00
@lhbc 其实现在遇到的一个问题是部分域名在部分移动网络下被 DNS 劫持,如果那些域名切 https 后用户就会无法访问(劫持者的服务器没开 443 ,用户请求直接失败)
|
 |
35
zwzmzd 2015-12-29 09:00:24 +08:00 via Android
@lyragosa 现在运营商劫持不分对象的,江苏电信京东页面直接被强插购物党,其它小鱼小虾网站底部挂广告
|
 |
36
qq651438555 2015-12-29 09:07:59 +08:00
@zwzmzd 是这个情况,路由手机上网,都挂广告条的,下面好大一块,都懒得投诉了,没得救了。江苏电信。
|
 |
37
Halry 2015-12-29 09:48:13 +08:00 1
@kkhu2004 你可以打开 cpuinfo 的嘛,一般新的 vps 都是支持而且把 aes 指令集虚拟过去的,看看 cpuinfo 里面有没有 aes,或者跑个 openssl 的 bebchmark
|
 |
39
AstroProfundis 2015-12-29 10:38:55 +08:00
最前面单独部署一套 Keyless SSL 的集群做接入,把流量路由到后面不同的应用服务器去
视情况加硬件解密卡 基本上和 @slixurd 说的差不太多 随便加加对性能影响不大的是因为流量太小...比如我的个人博客啥的确实随便加加就行了... |
|
41
slixurd 2015-12-29 10:51:15 +08:00
@AstroProfundis 对的。
说压力不大的大部分都是流量太小毫无压力的 说 Google 的服务器 CPU 压力基本没上涨的也是没考虑 Google 家拥有的超大规模的服务器集群和优秀的负载均衡的 自己的小站随便用个证书然后 NGINX REWRITE 就完事 但是企业站点根本不能这么随意。 貌似 Google 还有用 SSL 卸载?这个不太了解,只是听说过相关的东西。 |
Select Language