为什么默认情况下并非所有网络流量都使用 https 进行加密？ （或加密的http）[重复]

Question

可能重复：
Will it ever be possible to run all web traffic via HTTPS?

为什么使用加密进行安全通信的概念与在 https 中确认网站的身份相关联？使用 256 位密钥加密他们的 http 流量难道不是所有网络用户都受益吗？

有大量的网站使用 http 传输用户的登录名/密码，这些网站可以被窥探。用户并不那么精明地避免所有这些弱站点，并且经常对弱安全站点和强安全站点使用相同的凭据。 （有些网站，比如 Twitter 甚至没有明确说明他们在你登录时使用 https，他们确实使用 https，但是你不能从他们的主页上轻易分辨出没有加载 https。）

在 http 上使用 https 时性能会受到轻微影响，但它是否足以平衡所有用户的 Web 通信安全带来的好处？我认为 https 和扩展的 https 验证对于让用户知道他们正在与谁打交道非常有用。但是，即使您不知道自己在与谁打交道，或者不需要那么信任他们，难道所有用户的整体安全性都不会因为 HTTP 流量更难监视而得到改善吗？

Answer 1

不要忘记，浏览器通常不会缓存通过 https 获得的任何内容 - 如果默认使用它，页面加载速度会变慢并且您的带宽使用会增加。

看起来那是不正确的 - 我的观察是基于我从未见过缓存内容的银行网站，但显然这取决于常规 HTTP 缓存控制标头。

另请参阅类似问题的答案Will it ever be possible to run all web traffic via HTTPS?

Answer 2

我能想到的几个原因：

1. 安全用于保护敏感/重要的事物。如果某事不敏感或不重要，则不需要安全。

2. SSL 在验证您正在处理的对象方面并没有真正提供那么多。如果您有电子邮件地址（可能还有电话号码），您可以获得 SSL 证书。

3. 如果您有很多用户，那么“轻微的性能影响”确实会增加。

4. 有些人只是不想在他们的博客/主页/等上花费额外的一百美元左右购买 SSL 证书。

Answer 3

销售 SSL 证书是一项大生意。很多很多网站也不需要那种安全性。

坦率地说，我不认为最大的安全问题是人们窥探普通的 http 流量。这当然是一个问题，但更大的鱼是人们窃取用户数据库和/或客户端上的蠕虫/病毒。如果坏人有你银行的数据库，Https 对你没有帮助。

Answer 4

您忘记了使用 SSL 的第二点。它旨在验证您将数据发送给您真正认为的人。

如果那里的每个人都开始使用 SSL，它将失去第二个功能点（除非每个运行站点的人都从受信任的机构购买 SSL 证书并通过验证...在这种情况下，每个人都必须为该网站支付更多费用）。

EV（扩展验证）证书更是如此。它们不一定比常规证书更安全，但购买它们的验证过程要严格得多，可以颁发它们的供应商也更少。

Answer 5

SSL 证书可能非常昂贵。当然，您可以对证书进行自签名，但现在几乎所有浏览器都会提醒您注意自签名证书（无论如何，使用自签名证书是一种不好的做法）。

此外，始终不需要使用 https。例如，下载文件并不是您通常希望通过 https 执行的操作，因为它只是无用的开销。应该有对 https 的需求，你不应该因为可以就使用它。

Answer 6

我可以看到在网络上拥有两种安全“模式”是多么有用：一种是通道是安全的，即使您可能正在与尼日利亚的骗子交谈，另一种是安全的并且您知道你在和谁说话，但我不确定这是否真的值得。一方面，如果你不知道你在和谁说话，那它就不是很安全，然后我不确定普通的互联网用户是否可以或愿意花时间去注意和使用这种区别。我认为最好只有一个“安全”的浏览表单并让人们知道，当他们看到它时，他们就可以开始了。

就性能而言，这是一个小问题，但随着计算机性能的提高，它会不断上升（随着计算机速度越来越快，使用密钥解码 RSA 加密变得更容易和 是大数的素数，因此计算机性能和密钥长度需要一起提高）。但是，看看亚马逊。我想说他们知道他们在做什么，他们已经决定不希望 SSL 命中任何他们不需要的地方，并且竭尽全力只为与帐户和订单相关的活动使用它。