【发布时间】:2009-07-31 09:48:11
【问题描述】:
我有一个网站...我们称之为 mysite.com。在这个网站上,我认为应该是这个网站的安全部分的注册部分。
a) 我应该在整个网站上启用 ssl,还是只在注册部分启用(例如 signup.mysite.com) b) 为整个网站启用它有什么优点和缺点?
【问题讨论】:
我有一个网站...我们称之为 mysite.com。在这个网站上,我认为应该是这个网站的安全部分的注册部分。
a) 我应该在整个网站上启用 ssl,还是只在注册部分启用(例如 signup.mysite.com) b) 为整个网站启用它有什么优点和缺点?
【问题讨论】:
这取决于您的网站所提供的服务。如果它提供的数据是敏感数据,那么提供完整的 SSL 加密连接是一个好处。
但是,正如其他人所提到的,您会吃掉您的带宽。 SSL 加密数据,无论是图像、HTML 页面还是其他信息,都不会(应该)缓存在客户端上,因此每次用户重新启动浏览器时,文件都会重新下载。
我同意 Vinay 的观点,通过 SSL 提供登录/注册,然后回退到正常的 HTTP,然后看看。
另一种方法可能是通过 HTTP 提供所有静态内容,而通过 HTTPS 提供所有敏感内容(例如,如果您使用 ExtJS 等系统,则页面是静态文件,数据全部通过 AJAX 检索)。
当然,如果您要提供敏感信息(例如银行信息),而数据本身总是敏感的,那么请使用完整的 SSL 并承担成本。
【讨论】:
完全使用 SSL 不一定会增加您的带宽费用。加密不会使数据变大。请务必同时启用 Deflate 压缩。
SSL 可能会增加您的带宽费用的地方在于,某些浏览器 (firefox) 不会将通过 SSL 检索到的页面缓存到光盘。这意味着当用户在退出浏览器后下次访问您的网站时,他们将再次下载每一个内容。
如果您选择确保用户隐私,请确保您的网站发送的任何 cookie 都设置了“仅通过 SSL 发送”标志,否则用户可能会被一些非常简单的网络钓鱼诱骗以明文形式提供该 cookie。
SSL 还意味着支付由有意义的 CA 签名的证书,在某些情况下,这将花费超过您的品牌宽度。
优点是提高网站上所有页面的安全性和隐私性,缺点是性能较低,因为需要在连接的两端加密/解密流量。
对于一些知名的公共网站,例如仅使用 SSL 登录的 GMail,要求所有页面都使用 SSL 的压力越来越大。
我会说,尝试一下,看看性能是否有问题。如果没有,那就太好了;否则您总是可以回退到 SSL 仅用于登录。
【讨论】:
强制整个网站使用 SSL 会占用您的带宽,因为所有内容都已加密,包括图片。更多信息请查看apache ssl faq
【讨论】: