上个月月底,cloudflare宣布向所有客户提供免费的ssl支持。一时间,全世界的云计算供应商以及开发者大为欣喜,首先作为一个网站管理员,他可以在更小的成本下为客户提供更加安全的服务,并且google在早些时候也发布公告说对使用https的网站进行优先排名。
但是这块蛋糕真的和大家说的那样好吗?经过一些简单的研究,我们发现了这项服务存在的一些弊端:
1、根据cloudflare的官方博客,我们可以看到,首先cloudflare只支持扩展支持server name indication(sni)协议的现代浏览器,而根据官方的数据统计,中国只有58.22%的http请求符合这一协议,那就意味着如果你是一个中国本土的网站管理员,你如果想要使用cloudflare的这项免费服务,你就要丢失接近一半的用户。
2、cloudflare作为一家cdn提供商,他为免费用户提供的服务室不完整的,根据官网ssl服务的介绍,cloudflare仅会在浏览器与cloudflare的通讯中加密,cloudflare与本地服务器的通讯本身并没有加密。网站管理员仍然要购买ssl认证,才可以全面加密。虽然免费版不能全面加密,但能够做到上述这样,已经总比没有的好很多。对于各位用户来说,日后上网看网站就可以更加安心了。
3、最后一点是政策风险,不知大家是否记得以前曾经有一个g开头的国外公司可以免费提供一个长达一年的ssl证书?我想不少人也肯定是用过的,但是据反映,一些流量大,涉及到评论、交流的网站最后都消失在了中国的互联网上。至于个中细节和原因不再赘述,目前国内带有ssl证书的主流网站还是很少的,尤其是百度对https网站的不友好大家也是有目共睹的。
不是说只要有提供免费的厂商我们就要抨击,本文的目的只是希望各位网站管理员可以权衡利弊,不要见到免费的就不假思索的就去使用,毕竟你还是要对你的网站访客负责,在中国的大环境下,我们要做的还有很多很多。