Performance 仅在部分网站上使用HTTPs的缺点

我管理的一家商店在注册/登录/帐户/结帐页面上强制使用HTTPs，但仅此而已，我一直试图说服人们在所有页面上强制使用HTTPs

我知道建议在任何地方使用HTTPs，但不知道为什么

---

是否有充分的理由将部分网站保留在HTTP上？

整个网站确实不需要使用HTTPS。使用HTTPS将导致服务器消耗更多资源，因为它必须做额外的工作来加密和解密连接，更不用说协商算法中的额外步骤/握手等

---

如果你有一个流量很大的网站，性能的影响可能会很大

这也意味着在HTTP上使用纯HTTP时，响应时间会很慢

您应该只在站点中需要确保安全的部分使用HTTPS，例如用户向您的站点发送重要信息、填写表单、登录、站点的私有部分等

另一个问题是，如果您使用来自非安全URL的资源，可能是托管在其他地方的图像/脚本。如果它们不能通过HTTPS访问，那么您的访问者将收到关于连接不安全的警告

---

您还需要意识到，HTTPS数据/页面几乎不会被缓存。这也会增加性能损失。

一个很好的原因是页面性能对销售有巨大的影响（有很多已发表的研究），而SSL对性能有很大的影响-特别是如果没有正确调整的话

但对于粗心的人来说，混合运行SSL和非SSL充满了陷阱

确切地说，您将哪些页面放在SSL中对安全性也有很大的影响——假设您使用HTTP发送一个登录表单，其中的POST目标是HTTPS——一个简单的分析会表明这是安全的——但事实上，MITM可以修改登录页面以将POST发送到其他位置，或者注入一些ajax以将请求转发到不同的服务器地点

此外，混合使用HTTP和HTTPS还存在安全传输会话的问题—用户在SSL站点外部填充会话链接购物篮，然后在SSL站点内部付费—如何防止转换过程中出现会话固定问题

因此，如果你在HTTP方面有真正的专业技能，我只建议你运行一个混合站点——既然你在这里问这个问题，那就意味着你没有

一个折衷的解决方案是使用SPDY。SPDY需要SSL，但使大多数站点（尤其是那些没有进行过大量性能优化的站点）的速度更快。目前MSIE不支持它，并且（上次我检查时）在Firefox中默认不启用。但它很可能很快就会成为HTTP/2.0的一大部分

---

通过HTTPS使用（好的）CDN还可以减轻SSL对性能的影响。

服务器上的性能开销非常小（除非您使用一些特定的暂时性Diffie-Hellman密码）。至于不支持SSL的浏览器——我在2013年：什么时候？如果你有一个高流量的网站，消耗更多的ram和CPU周期，那么性能的影响可能会很大。你会注意到高流量网站上的差异，我已经运行了足够多的网站来knoq。那我一定是做错了。我发现SSL的CPU使用开销不到5%。-1无论您是否需要，您的身份验证cookie都将包含在每个请求中。这意味着您通过HTTP而不是HTTPS提供的每个请求都容易受到会话劫持的攻击。