V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
infinet
V2EX  ›  问与答

刚发现常去的几个网站都有 https 了,是什么原因?

  •  
  •   infinet · 2015-12-28 13:20:05 +08:00 · 6876 次点击
    这是一个创建于 3253 天前的主题,其中的信息可能已经有所发展或是发生改变。

    淘宝就不用说了,刚发现知乎,豆瓣也有 https 版本。话说网站搞 https 额外投入大么,它们是不是在前端有个什么设备专门作硬件加密?

    45 条回复    2015-12-29 13:33:57 +08:00
    lelsetsuna
        1
    lelsetsuna  
       2015-12-28 13:32:34 +08:00
    国内主要是被运营商劫持逼的
    lyragosa
        2
    lyragosa  
       2015-12-28 13:34:39 +08:00
    原因就是因为被流量劫持。

    如果你要求不高的话, startssl 或者 letsencrypt 就行了,免费。
    和硬件设备无关。

    个人网站的开不开 https 无所谓,开了可以装个逼格,不开一般也没人劫持你玩。
    Andy1999
        3
    Andy1999  
       2015-12-28 13:36:51 +08:00 via iPhone
    @lyragosa 天天被劫持 另外用了 ssl 很拼 cpu
    maemual
        4
    maemual  
       2015-12-28 13:42:27 +08:00
    投入不大。

    主要的工作是填以前的坑。。。
    slixurd
        5
    slixurd  
       2015-12-28 13:49:07 +08:00
    投入很大
    前端机要增强 CPU 和内存,或者加机器,否则 QPS 降低还是挺明显的。
    另外所有 CDN 要支持 HTTPS ,如果对 CDN 换域名,还要建一个 Keyless SSL 。
    为了保证不被 HTTP->HTTPS 跳转时劫持,这个就只能上全站 HTTPS 和 HSTS 了。
    BOYPT
        6
    BOYPT  
       2015-12-28 13:55:33 +08:00
    因为 CDN 都大规模支持 HTTPS 了, 成本已经降低下去了。
    kittyoung
        7
    kittyoung  
       2015-12-28 14:09:21 +08:00
    没有 https 你的登录密码都是明文的
    lhbc
        8
    lhbc  
       2015-12-28 14:39:18 +08:00
    硬件投入不大,几乎不需要增加多少硬件资源。

    主要是以前的资源升级到 https 的转换工作,对于一个庞大的网站,升级要处理的细枝末节太多了。
    另外还有外链资源(比如 js 、 css 、图片),如果资源是自己不能控制的,那就蛋疼了。

    社交网站最麻烦,因为嵌入太多外站图片,只能忍受蛋疼的混合资源,还有嵌入的第三方视频。除非出大成本把外链资源通过自己服务器中转。

    知乎上 https 是必须的,否则匿名个 P 啊。
    豆瓣应该也是劫持者口中的一块肥肉。

    B2C , C2C 上 https 的必要性就不需要重复说了,淘宝在这方面做得最好,当然最烂的毫无疑问就是 jd 啦。
    kozora
        9
    kozora  
       2015-12-28 14:51:39 +08:00
    这就该问各大运营商了 因缺思听
    yeyeye
        10
    yeyeye  
       2015-12-28 15:01:33 +08:00
    @Andy1999
    @slixurd
    @lhbc

    咦,你们的回复似乎有点冲突,有说耗 CPU 的,有说 CPU 消耗不大的。
    lihua1358
        11
    lihua1358  
       2015-12-28 15:18:15 +08:00
    因为劫持啊,最近今日头条那六家都发表声明了,可是这六家里面居然有某数字和企鹅,印象中他们才是劫持的主力啊
    lhbc
        12
    lhbc  
       2015-12-28 15:23:20 +08:00
    Quaintjade
        13
    Quaintjade  
       2015-12-28 15:49:25 +08:00
    @lhbc
    我觉得理论上 HTTPS 资源消耗应该并不大。
    但是我发现 CentOS + Apache + mod_ssl ,似乎每发起一个连接,内存占用就会增加返回文件的大小,不知我哪里设置错了。如果用 nginx 就没问题。

    另外,如果没有 OCSP stapling 且客户端访问证书服务期很慢,或者虽然设了但服务期访问证书服务期很慢,而且网站访问量不大,那么首次连接查询证书吊销会比较费时。
    LINAICAI
        14
    LINAICAI  
       2015-12-28 15:56:24 +08:00
    知乎、今日头条等几个主流网站不是说联合抵制流量劫持吗,所以做了这些措施吧
    BSD
        15
    BSD  
       2015-12-28 15:57:20 +08:00   ❤️ 2
    然而微博仍没有 https 。。。
    yylzcom
        16
    yylzcom  
       2015-12-28 16:05:14 +08:00 via Android
    除了对付流量劫持, HTTP2 的优势也是一个原因吧
    cmheia
        17
    cmheia  
       2015-12-28 17:20:24 +08:00
    @lyragosa 之前我做了很简单的页面,还没写完呢,就*已经*被奠信盯上了。
    kn007
        18
    kn007  
       2015-12-28 17:38:38 +08:00
    http2 速度快。。。代价并不高。
    lyragosa
        19
    lyragosa  
       2015-12-28 17:39:00 +08:00
    反正我试了一下,全站 https 之后群众普遍反应慢。

    考虑到群众没有多反馈劫持问题,所以我还是没加全站强制 https ,不过给了手动 https 选项。
    jugelizi
        20
    jugelizi  
       2015-12-28 17:47:11 +08:00
    https 当然耗资源的
    那也是被逼的
    不过也不是一下子就能上去 jd 现在首页 https 也正常了好像
    yuhaaitao
        21
    yuhaaitao  
       2015-12-28 20:51:50 +08:00 via Android
    @lyragosa 移动是全部都劫持,无论网站是否有人看
    cmxz
        22
    cmxz  
       2015-12-28 21:07:41 +08:00
    @lhbc https://www.jd.com 购物车和结算页也支持。其他也都在稳步推进中
    redsonic
        23
    redsonic  
       2015-12-28 22:04:39 +08:00
    反正最近卖 ssl 加速卡的乐坏了。
    shyling
        24
    shyling  
       2015-12-28 22:11:47 +08:00
    =。=防劫持啊=。=绿锁好看啊
    wql
        25
    wql  
       2015-12-28 22:20:14 +08:00
    @Andy1999 这要看 SSL 的算法,如果有 CHACHA20 —— POLY1305 应该会好很多
    lhbc
        26
    lhbc  
       2015-12-28 22:43:50 +08:00
    @cmxz 感谢你们的努力,期待全站 https ,不用再忍受强插的广告
    unique
        27
    unique  
       2015-12-28 23:40:49 +08:00
    迎接 http2 的到来?
    ethego
        28
    ethego  
       2015-12-28 23:42:18 +08:00
    @lyragosa 上 http2
    hcl
        29
    hcl  
       2015-12-28 23:48:08 +08:00
    看到有新闻说 HTTPS 可以提高网站排名。。
    hcl
        30
    hcl  
       2015-12-28 23:49:06 +08:00
    @hcl 好像是 Google
    cmxz
        31
    cmxz  
       2015-12-28 23:50:13 +08:00
    @lhbc 其实现在遇到的一个问题是部分域名在部分移动网络下被 DNS 劫持,如果那些域名切 https 后用户就会无法访问(劫持者的服务器没开 443 ,用户请求直接失败)
    Halry
        32
    Halry  
       2015-12-29 01:11:14 +08:00 via Android   ❤️ 1
    @yeyeye 对新款 cpu 影响小,因为有指令集。
    旧款 cpu 没有, so 。。。
    kkhu2004
        33
    kkhu2004  
       2015-12-29 01:39:57 +08:00 via iPad
    @Halry 请教, vps 呢?
    vibbow
        34
    vibbow  
       2015-12-29 04:32:33 +08:00
    @Andy1999 新款 CPU 都有 AES-NI 指令集了,速度很快的。
    zwzmzd
        35
    zwzmzd  
       2015-12-29 09:00:24 +08:00 via Android
    @lyragosa 现在运营商劫持不分对象的,江苏电信京东页面直接被强插购物党,其它小鱼小虾网站底部挂广告
    qq651438555
        36
    qq651438555  
       2015-12-29 09:07:59 +08:00
    @zwzmzd 是这个情况,路由手机上网,都挂广告条的,下面好大一块,都懒得投诉了,没得救了。江苏电信。
    Halry
        37
    Halry  
       2015-12-29 09:48:13 +08:00   ❤️ 1
    @kkhu2004 你可以打开 cpuinfo 的嘛,一般新的 vps 都是支持而且把 aes 指令集虚拟过去的,看看 cpuinfo 里面有没有 aes,或者跑个 openssl 的 bebchmark
    quericy
        38
    quericy  
       2015-12-29 10:04:36 +08:00
    @hcl 全站 https 会被谷歌更为重视,也是让百度停止收录的最佳途径

    好像没什么不对,反正百度也没什么卵用
    AstroProfundis
        39
    AstroProfundis  
       2015-12-29 10:38:55 +08:00
    最前面单独部署一套 Keyless SSL 的集群做接入,把流量路由到后面不同的应用服务器去
    视情况加硬件解密卡
    基本上和 @slixurd 说的差不太多

    随便加加对性能影响不大的是因为流量太小...比如我的个人博客啥的确实随便加加就行了...
    mornlight
        40
    mornlight  
       2015-12-29 10:41:47 +08:00
    @quericy 现在百度已经开放收录 https 了
    slixurd
        41
    slixurd  
       2015-12-29 10:51:15 +08:00
    @AstroProfundis 对的。
    说压力不大的大部分都是流量太小毫无压力的
    说 Google 的服务器 CPU 压力基本没上涨的也是没考虑 Google 家拥有的超大规模的服务器集群和优秀的负载均衡的
    自己的小站随便用个证书然后 NGINX REWRITE 就完事
    但是企业站点根本不能这么随意。

    貌似 Google 还有用 SSL 卸载?这个不太了解,只是听说过相关的东西。
    quericy
        42
    quericy  
       2015-12-29 10:54:33 +08:00
    @mornlight 实际上并没有什么用,上全站 SSL 前就看到百度这样说了,然后真的上了 https,依旧是降权降收录索引归 0.懒得管了,百度这尿性.
    wildlynx
        43
    wildlynx  
       2015-12-29 11:19:49 +08:00
    @Halry 奔腾之类的没有 AES-NI
    Halry
        44
    Halry  
       2015-12-29 11:34:47 +08:00 via Android
    @wildlynx 那没办法了,一般新的 vps 都是 xeon 的吧
    lepig
        45
    lepig  
       2015-12-29 13:33:57 +08:00
    @Andy1999 拼 cpu 的时代已经过去了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1905 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 16:20 · PVG 00:20 · LAX 08:20 · JFK 11:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.