慎用免费HTTPS:看似美好的免费“通用SSL证书”

上个月月底,CloudFlare宣布向所有客户提供免费的SSL支持。一时间,全世界的云计算供应商以及开发者大为欣喜,首先作为一个网站管理员,他可以在更小的成本下为客户提供更加安全的服务,并且Google在早些时候也发布公告说对使用HTTPS的网站进行优先排名。

但是这块蛋糕真的和大家说的那样好吗? 经过一些简单的研究,我们发现了这项服务存在的一些弊端:

1、根据CloudFlare的 官方博客 ,我们可以看到,首先CloudFlare只支持扩展支持Server Name Indication(SNI)协议的现代浏览器,而根据官方的数据统计,中国只有58.22%的HTTP请求符合这一协议,那就意味着如果你是一个中国本土的网站管理员,你如果想要使用CloudFlare的这项免费服务,你就要丢失接近一半的用户。

2、CloudFlare作为一家CDN提供商,他为免费用户提供的服务室不完整的,根据官网SSL服务的介绍, CloudFlare仅会在浏览器与CloudFlare的通讯中加密,CloudFlare与本地服务器的通讯本身并没有加密。 网站管理员仍然要购买SSL认证,才可以全面加密。虽然免费版不能全面加密,但能够做到上述这样,已经总比没有的好很多。对于各位用户来说,日后上网看网站就可以更加安心了。

3、最后一点是政策风险,不知大家是否记得以前曾经有一个G开头的国外公司可以免费提供一个长达一年的SSL证书?我想不少人也肯定是用过的,但是据反映,一些流量大,涉及到评论、交流的网站最后都消失在了中国的互联网上。至于个中细节和原因不再赘述,目前国内带有SSL证书的主流网站还是很少的,尤其是百度对https网站的不友好大家也是有目共睹的。

不是说只要有提供免费的厂商我们就要抨击,本文的目的只是希望各位网站管理员可以权衡利弊,不要见到免费的就不假思索的就去使用,毕竟你还是要对你的网站访客负责,在中国的大环境下,我们要做的还有很多很多。