V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
powtop
V2EX  ›  问与答

电商网站适合走 SSL HTTPS 么?是不是有什么弊端!

  •  
  •   powtop · 2015-02-04 12:06:53 +08:00 · 4547 次点击
    这是一个创建于 3580 天前的主题,其中的信息可能已经有所发展或是发生改变。

    目前https的日益普及,但是看到众多电商网站依旧没有开启HTTPS 想问下问什么,是不适合,还是就是人家不想用。

    45 条回复    2015-02-05 12:10:43 +08:00
    Slienc7
        1
    Slienc7  
       2015-02-04 12:18:36 +08:00   ❤️ 4
    商家:成本高
    政府:管不到
    用戶:不知道
    Septembers
        2
    Septembers  
       2015-02-04 12:19:36 +08:00
    额外的硬件成本 以及 证书成本

    证书成本 一年少则几千 多则几万(免费证书一边去)
    硬件成本 多一层HTTPS 计算量 蹭蹭的往上长
    BlueFly
        3
    BlueFly  
       2015-02-04 12:26:19 +08:00
    @Septembers 这些成本对于那些大电商,都是可以忽略,零头都不到。

    主要的是,绝绝大多数国人根本不知SSL的好处和必要性。电商当然装不知道
    wy315700
        4
    wy315700  
       2015-02-04 12:33:39 +08:00
    @BlueFly 考虑过CDN的感受吗
    Slienc7
        5
    Slienc7  
       2015-02-04 12:34:57 +08:00
    @BlueFly 如果部署HTTPS,那麽硬件方面成本將猛增數倍。
    主要原因應該是政治原因
    yywudi
        6
    yywudi  
       2015-02-04 12:47:16 +08:00   ❤️ 1
    还有就是https因为加密,就算增加硬件提高计算能力,从用户体验角度来说打开速度要比纯http慢,用户体验和数据安全哪个更重要,在中国的网络环境下,呵呵

    所以也就在用户登录以及支付相关的网页链接用https加密一下,普通的商品浏览基本上没有用https更不用说全站加密了
    aiguozhedaodan
        7
    aiguozhedaodan  
       2015-02-04 12:52:13 +08:00   ❤️ 1
    XP用户多
    难道各种CDN在每个城市的CDN节点都得给网站独立IP?显然不现实。中国IP没美国那么廉价
    不同的SSL证书对于CDN管理起来也麻烦
    再加上购买浏览页面,除非有人很在意自己看什么被窃听,否则也没必要
    支付、登陆界面不是有SSL么,目前来看也足够了
    powtop
        8
    powtop  
    OP
       2015-02-04 12:52:54 +08:00
    @yywudi 好吧 那硬件成本为啥增加了呢
    powtop
        9
    powtop  
    OP
       2015-02-04 12:53:15 +08:00
    @Septembers 硬件成本为何会增加
    cevincheung
        10
    cevincheung  
       2015-02-04 12:55:25 +08:00   ❤️ 1
    @powtop
    主要是CPU 。SSL加密的信息在客户端和服务端的双方交互过程中CPU负责加密解密。运算量的问题。

    其次是CDN的部署也是问题。
    yywudi
        11
    yywudi  
       2015-02-04 12:55:56 +08:00   ❤️ 1
    @powtop https要加密,CPU支出高很多,为了尽量加速这个加密过程,不损失太多用户体验,肯定得提高CPU能力,不就得加更多CPU.... 而且证书要求独立IP,虽然有SNI 但是这个开销也是成本
    powtop
        12
    powtop  
    OP
       2015-02-04 12:56:20 +08:00
    @aiguozhedaodan 刚才看了下 貌似是这样的 登陆支付加密 这样的话https证书 是不是就是针对login.taobao.com或者比如passport.jd.com 申请这种二级域名就可以了??
    aiguozhedaodan
        13
    aiguozhedaodan  
       2015-02-04 12:59:27 +08:00
    @powtop 对。这是目前条件下,在资源消耗和数据安全两者间做出的最优平衡和选择。
    cnZary
        14
    cnZary  
       2015-02-04 13:02:32 +08:00
    @yywudi 用spdy就不会比纯http慢了
    cevincheung
        15
    cevincheung  
       2015-02-04 13:04:59 +08:00
    @powtop Wildcard也不贵
    FrankFang128
        16
    FrankFang128  
       2015-02-04 13:05:42 +08:00 via Android
    楼上都纸上谈兵的么
    honeycomb
        17
    honeycomb  
       2015-02-04 13:18:09 +08:00
    亚马逊(包括国内站)有全程HTTPS

    但在国内是很有意义的,有了它基本能免疫运营商劫持广告
    andy12530
        18
    andy12530  
       2015-02-04 13:22:36 +08:00
    CDN的问题先解决了吧,不然大图,还有其它静态资源,流量也是一大笔钱。
    shixinyu
        19
    shixinyu  
       2015-02-04 13:32:56 +08:00
    @andy12530 静态资源可以走一个独立的域名,不用SSL加密的域名,缺点就是这个页面Load的时候就是混合内容,可能会在证书图标那边有感叹号提示。
    dndx
        20
    dndx  
       2015-02-04 14:13:05 +08:00 via iPhone   ❤️ 1
    Google 现在连 YouTube 的视频都走 TLS 了。说白了就是态度的问题。什么资源、CDN,真要想搞总有办法搞定。
    lhbc
        22
    lhbc  
       2015-02-04 14:55:11 +08:00   ❤️ 3
    硬件成本:CPU过剩的年代,SSL算啥,现在的服务器CPU都有AES-NI,单核500M/s以上的AES计算速度,根本不增加硬件成本
    证书成本:九牛一毛都算不上
    CDN:SNI、无证书CDN,技术都不是问题

    根本原因是:你们这些用户的安全和隐私值根毛
    quix
        23
    quix  
       2015-02-04 14:59:04 +08:00
    免费证书到底有什么问题?
    xiaozhizhu1997
        24
    xiaozhizhu1997  
       2015-02-04 15:00:13 +08:00 via Android
    美亚也只有帐户管理页面有HTTPS。
    至于京东我要吐槽一下它的HTTPS到底多落后,chrome连黄锁都不显示了。。
    scys
        25
    scys  
       2015-02-04 15:00:51 +08:00
    @Septembers 除非是算法不同,否则免费和收费,其实没区别呀~

    虽然跟我去 @ooxx 那买了个5年。
    scys
        26
    scys  
       2015-02-04 15:01:49 +08:00
    应该是@xxoo才对~
    alexyangjie
        27
    alexyangjie  
       2015-02-04 15:03:36 +08:00
    说到底就是安全意识不足。我之前写过一篇文章:

    https://www.alexyang.me/2014/08/25/say-hello-to-tls.html
    xiaozhizhu1997
        28
    xiaozhizhu1997  
       2015-02-04 15:05:47 +08:00 via Android
    @honeycomb 美亚首页打HTTPS会301到HTTP。
    powtop
        29
    powtop  
    OP
       2015-02-04 15:09:03 +08:00
    @scys 我来@xxoo一下 xxoo 你家卖证书么 ? 多少软妹币
    powtop
        30
    powtop  
    OP
       2015-02-04 15:09:38 +08:00
    @alexyangjie 话说淘宝7块钱一年的证书不错 只不过到现在还没配置OK
    scys
        31
    scys  
       2015-02-04 15:28:27 +08:00
    @xoxo 好吧,我承认,我是写了三次才写对一个名字!
    alexyangjie
        32
    alexyangjie  
       2015-02-04 15:53:01 +08:00
    @powtop 嗯,应该不难的。
    9hills
        33
    9hills  
       2015-02-04 16:07:56 +08:00
    Youtube全站SSL,包括视频本身。成本大么?这是一种态度
    zeinipiyan
        34
    zeinipiyan  
       2015-02-04 16:40:30 +08:00
    @9hills 这样用户资料不作恶就可以独享了,市场上有一百家卖包子的,和只有一家卖包子的,价格能一样吗?
    bugmenott
        35
    bugmenott  
       2015-02-04 16:44:51 +08:00
    @zeinipiyan 可笑的生物,已B,简直污染眼睛
    lbp0200
        36
    lbp0200  
       2015-02-04 16:46:59 +08:00
    领导不关心,自然不必ssl
    learnshare
        37
    learnshare  
       2015-02-04 16:49:55 +08:00
    安全重要不重要?脱裤要不要预防?交易和用户数据值不值钱?
    iyaozhen
        38
    iyaozhen  
       2015-02-04 16:56:17 +08:00
    哎,还是态度问题。高层觉得这个完全没必要,某些技术人员推也推不起来。
    其实涉及私密信息传输的地方一般都会强制要求走https了(我最近的一个项目就因为证书问题delay了一个多月)。现在主要是一些静态信息展示的页面还是http。

    不过只要网民素质慢慢提高,整个互联网意识到https的重要性,越来越多的网站会使用https的。
    9hills
        39
    9hills  
       2015-02-04 17:05:07 +08:00 via iPhone
    @zeinipiyan 看不懂你在说什么…
    honeycomb
        40
    honeycomb  
       2015-02-04 17:07:18 +08:00
    @xiaozhizhu1997

    我这里不会

    可能是启用了HTTPS everywhere的缘故
    honeycomb
        41
    honeycomb  
       2015-02-04 17:08:40 +08:00
    @xiaozhizhu1997
    抱歉收回刚才言论
    geekzu
        42
    geekzu  
       2015-02-04 17:59:01 +08:00 via Android
    CDN是可以SSL的,国内便有verycloud支持,并且支持SPDY
    xierch
        43
    xierch  
       2015-02-04 18:49:16 +08:00
    就是不重视用户信息安全啊
    重视的话,就算证书贵就算硬件需求高,那也要买也要升级设备也要上 HTTPS 啊
    shenyi26
        44
    shenyi26  
       2015-02-05 05:52:37 +08:00
    可以参考亚马逊,重要页面走https,比如登陆,订单。普通页面走http
    missdeer
        45
    missdeer  
       2015-02-05 12:10:43 +08:00
    cloudflare是怎么解决CDN挂SSL的?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2742 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 14:56 · PVG 22:56 · LAX 06:56 · JFK 09:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.