我正在阅读谷歌发布的这个博客(http://googlepublicpolicy.blogspot.com/2009/06/https-security-for-web-applications.html),默认情况下不为gmail启用HTTPS。其中一段说明如下。
除非对用户体验产生负面影响或其他方面不切实际,否则我们打算默认更广泛地启用HTTPS,希望对所有Gmail用户都有效。我们还在考虑如何使其最适合其他应用,包括Google文档和Google日历(我们也为这些应用提供免费的HTTPS)。
通过切换到HTTPS,我不明白会有什么负面影响。是否对HTTP和HTTPS的性能进行了基准测试。
我觉得https最初实际上涉及一些额外的协议消息,稍后会进行数据加密。这些问题不能通过默认加载SSL浏览器代码等来处理。
谢谢 巴拉
答案 0 :(得分:2)
https的主要成本通常是会话开始时的密钥交换,这是CPU密集型的。硬加速可用于处理此问题。如果是EV证书,那么它还需要撤销检查。流的实际加密相对便宜。 Sun Niagara II具有“零开销”加密,使用备用FPU周期进行处理。
答案 1 :(得分:2)
https的开销完全处于会话开始期间的密钥协商阶段。如果密钥设置为在短时间内过期,则可能需要经常重新协商。
但是,如果您使用的是128位SSL(我见过最常见的),密钥生成和交换是一个非常短暂的过程。
尝试从网络上的两台计算机计时 - 一台连接在SSL上,另一台连接在明文上:它是一位数的百分比,只在会话开始时才真正引人注目。
基于浏览器的活动几乎总是受用户限制,而不受机器限制。
答案 2 :(得分:0)
使用HTTPS,用户和托管信息的服务器之间的所有流量都被加密,只有用户和服务器才能看到。这使得中间人攻击非常困难。这需要双方额外的资源来解释所传达的内容。
通常在HTTPS上的高需求服务器上,网站的哪些部分使用SSL或者有加密卡可以卸载加密过程是有限制的。