可能的重复:
SSL 会产生多少开销?
最近,我与一位开发人员进行了交谈,他告诉我,在站点范围内实施 SSL 会使服务器负载增加 300 倍。这真的可信吗?我目前在所有页面上都使用 SSL,每天有数千名用户访问系统,没有任何明显的延迟。我们使用的是 IIS 7 服务器。
他的解决方案是仅在登录页面上使用 SSL 来保护登录凭据的传输。然后将它们重定向回 HTTP...这是好的做法吗?
HTTPS 中成本高昂的是握手,无论是在 CPU 方面(非对称加密操作更昂贵)还是在网络往返方面(不仅用于握手本身,还用于检查证书吊销)。之后,使用对称加密技术完成加密,这不会给现代 CPU 带来很大的开销。有多种方法可以减少握手带来的开销(特别是通过会话恢复,如果支持和配置的话)。
在许多情况下,将静态内容配置为可在客户端缓存也很有用(请参阅Cache-Control: public
)。某些浏览器默认不缓存 HTTPS 内容。
使用 HTTPS 时将服务器的 CPU 负载增加 300 听起来像是配置不正确。
他的解决方案是仅在登录页面上使用 SSL 来保护
传输登录凭据。然后将它们重定向回
HTTP...这是好的做法吗?
许多网站都这样做(包括 StackOverflow)。这取决于需要多少安全性。如果您这样做,则只有凭据会受到保护。攻击者可以窃听以纯 HTTP 传递的 cookie(或类似的身份验证令牌),并使用它来冒充经过身份验证的用户。
从 HTTP 切换到 HTTPS 或反之亦然时,需要非常小心。例如,来自登录页面的身份验证令牌一旦传递到纯 HTTP,就应被视为“已泄露”。特别是,您不能假设仍然使用该身份验证令牌的后续 HTTPS 请求来自合法用户(例如,不允许其编辑“我的帐户”详细信息或类似内容)。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)