历史回顾:独立博客有必要安装https吗?

王志勇 发表于 2018年10月29日 22:47

此篇是近期讨论https的第3篇。今天终于调试安装https成功,但如果没有特殊的必要,独立博客还是认为并不是必须安装https。如果想保持更好的性能,仍然是http比较好。

https安装较复杂。我使用的PHP+NoSQL是以CentOS系统+Apache为主,调试中,Let’s Encrypt免费SSL证书在CentOS 5/6/7 + Apache下没有安装成功;Ubuntu 12无法安装;Ubuntu 14+Nginx安装成功。能否安装成功,取决于Let’s Encrypt的官方支持

这类网站可以安装https:

  1. 银行、支付平台。
  2. 电子邮箱。
  3. 保密型网站,需加载Cookies才可见的页面。
  4. 登录页面。

我从2003年至今,保存了4000多个国外网站截图。从这些历史截图里,可以看到国外有知名度的网站约99.5%以上在2014年以前都是http,比如ebay、amazon、cnn、btplc、a9.com、opera.com、verizon、alexa、twitter、yahoo.com、code.google.com、fleetio、asp.net、getflow、ca.com、hp、visa、microsoft,等等几乎所有的英文网站,数不胜数。

如今2018年再浏览国外这些有知名度的网站,约80%以上全站、所有二级域名都已经换成https。
现在国内各大门户网站,首页使用https。频道大部分仍然使用http,因为https会消耗很多流量。至今仍在使用全站http的大网站,如CCTV、php.net、tom.com(甚至TOM邮箱仍在使用http),国内还有很多很多。https只是提高了安全级别,http并非不安全这个新方案可以给http的密码提高安全级别

对于博客来说,由于不是上述的4种网站类型,因此可以不采用http。但还有这种场景可以使用https,如果使用的程序是用file_get_contents()函数自动调用远程数据,http有一定的可能会被*F(隔开)W截获,因为Yo(隔开)u2P(隔开)HP就是个例子。但由于Yo(隔开)u2P(隔开)HP安装比较繁琐,我没有完成安装,所以无法确定*F(隔开)W是否已经在检测http的html源代码。但是可以确定的是会自动检测URL。

因此,像这种用file_get_contents()函数自动调用远程数据的第三方程序,有了这一种风险,不要运行在博客的域名内。而可以在同一空间,在Apache、或Nginx下建立一个不存在的域名a,在本机的C\:WINDOWS\system32\drivers\etc\hosts文件,或者安卓手机的/etc/hosts文件,建立一个不存在的域名a,IP地址指向自己的VPS、或虚拟主机,这样即使使用http也不会对博客的域名的安全有任何的影响;为了提升主机的安全,这类有file_get_contents()函数的第三方程序运行时,最好安装一个自签名的https,因为免费,永不过期。

这个例子可以说明,用file_get_contents()函数自动调用远程数据的第三方程序,不应该在博客的域名下运行,因为会给博客增加无谓的风险,而要用一个不存在的域名、用本机hosts文件来解析。

还没有安装https的博友,短期内可以不考虑https。

国内的中文网站,大多仍然以http为主,中文站用http基本畅通无阻。但如果建英文站,需要获得更多的用户,还是不得不考虑https来充一下门面。

5条评论:
1   笛声 2018-10-31 10:40
https也不是一无是处,http://developer.51cto.com/art/201610/519236.htm
这个网站:https://web.archive.org/ 有4000万网页的历史快照。

自由勇 2018-10-31 10:48
是的,各有妙处,各取所需。:)

自由勇 2018-10-31 11:23
已看完这篇文章,谢谢推荐!

2   自由勇 2018-11-03 09:11
Trackback来自《VPS新机安装分享:Let’s Encrypt的https正确安装方法

虽然本文写完了,本博客还是暂时不使用https,原因是:前文1、前文2。有一定的性能损失,测试了很多次,同一个页面,http比https访问快不少、快很多。

3   李雪含 2022-02-20 20:33
其实还是有必要上,如果是对外展示的人比较多的话,因为浏览器会提醒不安全,这个比较糟心
4   Clark 2022-02-22 10:45
本人支持使用https.
16年的时候吧,公司web项目被运营商劫(隔开)持加了广告.经过多次投诉才给撤下来.

自由勇 2022-02-22 12:57
http的网页劫(隔开)持确实是一大诟病,3年前我上班的地方,打开的http也被劫(隔开)持了,全有广告代码。

但我们这边的家用宽带,却从来没有出现过这种被劫(隔开)持,只有宽带快到期了,打开的所有网页会有到期提示。

网页劫(隔开)持是非(隔开)法行为,大家应该合力投诉。

发表评论:
名字: (*必填)
博客: (可省)

正文:

  记住信息?

王志勇:1980-09-26 (44周岁)
程序设计,前端设计。

版权声明:本博客所有文章,均符合原创的定义,禁止转载,违者将必究;正确的方法是贴原文的标题和网址即可。

与此相关的链接
自由勇专栏

Blog存档 Archives

2022年07月
2022年06月(15)
2022年05月(20)
2022年04月(16)
2022年03月(9)
2022年02月(9)
2022年01月(10)
2021年 +

2020年 +
2019年 +
2018年 +
2016年-2017年(9)
2014年06月-09月(10)
2013年 +
2012年 +
2011年 +
2010年 +
2009年 +
2008年 +
2007年 +
2006年 +
2005年09月(4)

Copyright © 2006-2024 auiou.com All rights reserved.
此Blog程序由王志勇编写