关于HTTPS的五大误区，您踩雷了吗?

　　随着企业对络安全的重视性，https协议已经被广泛重视和使用。同时，谷歌浏览器宣布将所有“HTTP”标示为不安全站之后，许多站都争相从“HTTP”升级到了“HTTPS”。

　　由于不安全的站会造成大量的数据泄露甚至危害整个站的正常运转，企业都应该开始重视并部署SSL证书。

　　当你上打开站时，会发现浏览器左上角地址栏那里，有一把绿色的小锁标志，这把小锁标志就表示该站已经启用了HTTPS加密保护。
 

　　误区1：HTTPS拖慢站的访问速度

　　站使用HTTPS协议，虽然比HTTP协议多出了SSL证书的握手验证环节，但这个SSL证书握手环节，一般不会超过100毫秒(ms)，也就是说不到0.1秒(s)。只要做好HTTPS的性能优化，HTTPS并不会拖慢站的访问速度。
 

　　误区2：HTTPS大幅增加硬件配置成本

　　为了实现HTTPS，升级CPU、购买服务器的方法已经成为历史。可能会有一些个人或者中小型站，使用的是虚拟主机，在这样的共享服务器空间上面，如果想要安装和配置SSL证书，就需要服务器支持。

　　大部分虚拟主机都已经支持配置SSL证书，随着硬件性能的突飞猛进，HTTPS施加在硬件之上的运算压力已经越来越小，再加上合理的优化和部署，硬件成本增加几乎可以忽略不计。
 

　　误区3：数据敏感的站才需要使用HTTPS

　　这口中认为的敏感行业大多数为：银行、金融、电商等，其他类型的站同样有必要完成SSL证书的部署。HTTPS有助于保护用户的隐私，它将让站的全部内容都纳入HTTPS的保护。
 

　　误区4：SSL证书可以随意申请

　　SSL证书根据可信强度，大概可以分为：域名型证书( DV SSL )、企业型证书( OV SSL )、增强型证书( EV SSL )三种。

　　免费、便宜的SSL证书，都是低级别的DV SSL证书，对于高级的OV SSL和EV SSL证书来说，需要提交真实可靠的资料(如：企业营业执照、组织机构代码等)，并且需要经过CA(数字证书权威颁发机构)人工审核通过后才可以颁发，很多企业因为提交的资料不齐全或不真实，因而导致证书申请失败。
 

　　误区5：有了HTTPS，站就一定是安全的

　　有了HTTPS，就能绝对保证站的安全，这是“HTTPS万能论”。部分企业也用HTTPS宣传自己的站足够安全。

　　实际上，HTTPS利用SSL证书，主要是为了满足络通信“数据传输加密”和“服务器身份验证”这两个安全需求，即“防窃取、防篡改、防钓鱼”，至于其他别的安全需求，还暂时满足不了。但“数据传输加密”和“服务器身份验证”是站安全的基础。

　　站不能单单依靠HTTPS去运转维护安全，但在保障安全的这条路上不能缺少HTTPS。