误区二:HTTPS会大幅增加硬件成本 为实现HTTPS升级CPU、购买更多服务器已经成为历史。随着硬件性能的突飞猛进,HTTPS施加在硬件之上的运算压力已经越来越小,再加上合理的优化和部署,硬件成本增加几乎可以忽略不计。
误区四:在登陆页面部署HTTPS即可 在登录页面部署HTTPS,避免密码被截取,至于其它页面就不用了。但这种想法是危险的,因为如果仅登录页使用了HTTPS,在登录以后,其他页面就变成了HTTP。这时,页面缓存数据就暴露了。 也就是说,这些缓存数据是在HTTPS环境下建立的,但却在HTTP环境下传输。如果有人劫持到这些缓存数据,密码就很可能被盗。正是基于这个原因,目前很多网站都从单一的登录页HTTPS升级为全站HTTPS。
误区五:SSL证书很昂贵 既然HTTPS必不可少,我们就申请一张,但SSL证书是收费的,价格不便宜。其实SSL证书的价格在网络安全产品中属于比较亲民的。而且在众多SSL证书提供商中,用户可以通过使用服务商推出的促销活动来减少使用SSL证书的成本。比如SSL证书商城(http://ssl.idcspy.net/)推出的域名型DV SSL证书只需169元即可申请。
误区七:SSL证书可以随意申请 SSL证书并不是随意申请的,比如企业型(OV)、增强型(EV)都需要提交真实可靠的资料(如企业营业执照、组织机构代码证等),经过人工审核通过后才可颁发。之所以如此,是因为服务商要保证SSL证书被合法机构使用,防止将证书颁发给不法人员并遭利用。
误区八:有了HTTPS,网站就彻底安全了 这可以称为“HTTPS万能论”,部分企业也用HTTPS宣传自己的网站足够安全。但实际上,HTTPS是利用SSL证书满足网络通讯传输加密和服务器身份验证这两个安全需求,即防窃取、防篡改、防钓鱼,别的安全需求就满足不了了。众多网站安全问题也不可能仅靠一张SSL证书就全部解决。 但传输加密和身份验证是网站安全的基础,基础都打不好,安全就是空谈。所以请记住这句话——对网络安全来说,HTTPS不是万能的,但没有HTTPS是万万不能的!