問：為何網站瀏覽是以HTTP（超文本傳輸協議）來執行而不是HTTPS（安全超文本傳輸協議）呢？例如，在Facebook.com上，網頁的認證是通過HTTPS來進行的，認證之后，就回到HTTP。為何網站不在一開始就對所有的操作運用HTTPS？

答：網站并不對所有網頁進行加密的原因是，使用SSL（安全套接層）時要進行以下權衡：改善的安全性能與高成本、低反應速度的對比。通過SSL來發送網頁時，需要數字化的SLL證書，VeriSign擴展驗證SSL證書一年需花費995美元，對小店來說，這可是筆不小的費用。而這些小店的網站變動很小，目的只是向顧客提示自己的存在，所以對他們來說，花費這么一筆錢去鏈接SSL顯得不合情理。對網站的安全控制應該與可能遇到的風險大小成比例，街頭小店的網站就屬于風險極小的類型。

帶有數字證書的網站為何不通過SSL發送網頁還有其歷史原因，加密的過程會使網頁的發送速度變慢。使用SSL的過程中，在沒有接觸到服務器和客戶之間交換的大量加密數據之前，服務器就有一大堆數據要處理。在寬帶技術應用之前，網頁下載的速度很緩慢，網站設計者出于對網頁瀏覽量的考慮，不愿意對每個網頁都進行加密。（這也是大多數主頁不使用SSL技術的原因，網站的設計者希望瀏覽者盡快的看到自己的網頁，而不是讓他們等得失去耐心，跑到別的網站上去。）同時，許多瀏覽器不會緩存通過SSL發送的文件，原因是存儲SSL文件會生成大量的額外信息流量，降低網頁的下載速度，而這些額外的信息量要不間斷的從網站服務器獲得。

就拿Facebook來說，它肯定能承擔起數字證書的費用，而且出于對網站中需要注冊的網頁的考慮，Facebook使用了數字證書。有些忙碌的網站服務器大范圍的使用了SSL技術，例如，銀行網站，SSL加速器（實際上是一塊協助處理板）被用來處理SSL公鑰計算。這樣的配置減輕了網站服務器通過SSL發送網頁的工作量，提高了發送速度。可以確定的是，像Facebook這樣信息交換快速的網站，配置SSL加速器是很明智的，然而，對每個網頁都進行加密的做法是不切實際的，也是沒有必要的。

可以明確的是，SSL并不能使網站變得安全。SSL僅能對網站進行認證和對網站間所交換數據進行加密。知曉將要聯系的對象并把聯系的內容加密，這兩項在安全登錄過程中是很關鍵的。這也是Facebook在自己的登陸界面使用SSL技術的原因。如果登陸模式不受SSL保護，網站就不能被認證；即便數據是通過SSL模式發送的，如果登陸模式不是SSL的話，在你將這些數據發送之前，仍不能對網站進行認證。因此，雖然你的證書是加密的，仍然沒法獲知究竟將這些數據發送到了什么地方。

SSL鏈接提供了一種檢驗途徑，審核你目前所在的網頁是否來自你想要去的網站。當你看到安全鎖標志時，可以檢驗一下SSL證書，并查看：組織的名字和證書是由誰發布的。我們使用SSL技術是出于以下考慮：SSL具有檢驗網頁來源的能力，能夠識別目前所瀏覽的網頁是否發布于將要登入的網站，并使這些數據不被其他人獲知。然而，這些都是在SSL運行的過程中存在的，在網頁已經開始被瀏覽的情況下就不存在了。當用戶已經進入所要瀏覽的網站時，SSL不再具有數據保護功能，而且在數據被網站和其所有者處理與存儲時，對其安全性如何，SSL不能進行任何的干預。

【編輯推薦】

1. 密鑰升級部分SSL證書存在安全缺陷
2. SSL證書安全選購十問