https，想说爱你不容易

王志勇发表于 2019年04月27日 09:33

如果一个博客，一两个网站都启用https，影响不大。https，整页加密传输，防劫持，好看，跟得上趋势。但是对于多站点、多二级域名的项目，当达到50～100个以上的域名/二级域名，那么https的管理(包括安装、续期、定期检查)，无疑是一场灾难，占用很多服务器资源和维护时间。这也是为什么我尽量使用http，而且鼓励使用http。

在现在各种主流的浏览器里，其实http和https加载的Cookies，是完全共享的。因此在http和https下加载的Cookies，可以互相调用、甚至能通过某个方法查阅。所以在Cookies这个单项的安全方面，http和https的安全性一样。

在没有https的情况下，http的密码可以通过JavaScript进行前端加密，密码的<input>，可以放在<form></form>之外，这样明文密码不会发送，然后把它加密，由它用document.all.abc.value传给<form></form>里一个表单，这样http的密码在发送时是完全加密的。
此时如果也启用https，那么是多重加密，会更加安全。

由于趋势，登录页面、支付系统，必须使用https。其它页面，我更鼓励用http。之前写的博客：

HTTP和HTTP2(多路复用)的实际跑分测试 (结果：http比http2快一点)
详解99.9%的网站没必要用https
独立博客有必要安装https吗？
Ubuntu/CentOS+HTTP/HTTP2的速度测试 (结果：http比http2快一点)

有的朋友发现用了https很快，这其实是博客静态优化的结果。此时如果用http访问，会发现速度更快。

11条评论：

1 angel2018 2019-04-27 23:38
勇哥，https想必是趋势，和http比较的话你的测试数据已经说明了http更快些。但是，想必很多人有得选择就会选更安全，但速度慢一点是可以接受的。

勇哥，是不是可以做成一个网站两种要求，普通的明文类的，不涉用户ID，key的使用http,涉及安全ID，key和支付的启用https。一个网站，两种特色，各选所优。

勇哥，另外，我博客，页面在手机适应已经用改动了，就是字体还是不够大，不够满意，侧栏也隐藏了，但是隐藏的区域，在手机页中还是显示了一片空白的地方。这个还在改进中。

自由勇 2019-04-28 16:10
谢谢，还是更喜欢以http为主，https为辅，登录页用https。

2 笛声 2019-04-28 09:49
可以使用通配符证书解决二级域名的问题，管他多少二级域名，一个证书搞定，我博客就是用的通配符证书，可参考 https://www.cmsky.com/alphassl-free/

自由勇 2019-04-28 16:10
谢谢，主要是多域名、多二级域名管理比较麻烦，将来分流的时候，很多二级域名不在同一服务器上。

3 电脑故障网 2019-05-01 18:07
我也是用http，因为http好接cdn，https的cdn都不便宜
，少量页面用https

自由勇 2019-05-01 19:29
是的，http有很多方便之处。
CDN以前我用过一年，后来不用了。没有CDN也挺快。