误解7: HTTPS不能被缓存

很多人认为出于安全考虑，浏览器不会在本地保存HTTPS缓存。事实上，只要在HTTP头中使用了特定的命令，就可以缓存HTTPS。

微软IE项目经理埃里克劳伦斯写道：

说IE的所有版本都缓存HTTPS内容，只要HTTP头允许，这可能会令人震惊。例如，如果第一个命令是Cache-Control: max-age=600，那么这个网页将被IE缓存10分钟。IE的缓存策略与是否使用HTTPS协议无关。(其他浏览器在这方面的行为是不一致的，具体取决于你使用的版本，这里就不讨论了。)'

默认情况下，火狐只在内存中缓存HTTPS。但是，只要头命令中有Cache-Control: Public，缓存就会写入硬盘。下图显示火狐硬盘缓存中有HTTPS内容，第一个命令是Cache-Control:Public。

误区六：SSL证书很贵

如果你在网上搜索，会发现很多便宜的SSL证书，一年大概10块钱，和a.com域名的年费差不多。而且事实上，你可以找到一个免费的SSL证书。

在有效性方面，便宜的证书肯定会比大机构颁发的证书差，但几乎所有主流浏览器都接受这些证书。

误解5: HTTPS网站必须有专属的IP地址

随着IPv4即将被分配，很多人都在关注这个问题。毫无疑问，每个IP地址只能安装一个SSL证书。但是，如果您使用通配符SSL证书(价格约为每年125美元)，您可以在一个IP地址上部署多个HTTPS子域。例如，https://www.httpwatch.com和https://store.httpwatch.com共享同一个IP地址。

此外，UCC(统一通信证书)支持一个证书同时匹配多个站点，可以是完全不同的域名。服务器名称指示(SNI)允许一个IP地址上的多个域名安装多个证书。在服务器端，Apache和Nginx支持这项技术，但IIS不支持；客户端，支持IE 7、火狐2.0、Chrome 6、Safari 2.1、Opera 8.0。

误区四：转移服务器时买新证书

部署SSL证书需要以下步骤：

1.在您的服务器上，生成一个CSR文件(SSL证书签名请求)。

2.使用CSR文件购买SSL证书。

3.安装SSL证书。

这些步骤是经过精心设计的，以确保传输的安全性，防止人们拦截或非法获取证书。因此，您在第二步中获得的证书无法在另一台服务器上使用。如果需要这样做，必须以其他格式输出证书。

例如，IIS生成一个可转移的。pfx文件，并用密码保护它。

将此文件传递给其他服务器，您可以继续使用原始的SSL证书。

误解3: HTTPS太慢了

使用HTTPS不会让你的网站更快(实际上，见下文)，但有一些技巧可以大大减少开销。

第一，只要压缩文本内容，解码消耗的CPU资源就会减少。但是，对于当代的CPU来说，这个开销不值一提。

其次，建立HTTPS连接需要额外的TCP往返，因此增加了一些字节用于发送和接收。然而，从下图可以看出，新字节非常少。

第一次打开网页时，HTTPS协议会比HTTP协议慢一点，因为要花时间去读取和验证SSL证书。下面是HTTP网页打开时间的瀑布图。

同一网页使用HTTPS协议后，打开时间变长。

建立连接大约慢10%。然而，一旦建立了有效的HTTPS连接并刷新了网页，这两种协议之间几乎没有区别。一、HTTP协议的刷新性能：

然后是HTTPS议定书：

有些用户可能会发现HTTPS比HTTP快一点。这种情况会发生在一些大公司的内部局域网中，因为通常情况下，公司的网关会拦截和分析所有的网络通信。然而，当它遇到HTTPS连接时，它只能被直接释放，因为HTTPS不能被解释。正是因为缺乏这种解读过程，HTTPS才变得更快。

误解2:使用HTTPS，Cookie和查询字符串是安全的

虽然Cookie和查询字符串不能直接从HTTPS数据中读取，但您仍然需要使它们的值不可预测。

例如，曾经有一家英国银行用顺序值直接表示会话id:

黑客可以先注册一个账户，找到这个cookie，看看这个值的表示。然后，更改cookie以劫持其他人的会话id。至于查询字符串，也可以用类似的方式泄露。

误解1: HTTPS只需要注册登录页面

这种想法很常见。人们认为HTTPS可以保护用户的密码，而且没有必要。Firefox浏览器的新插件Firesheep证明了这个想法是错误的。我们可以看到，在推特和脸书上劫持别人的会话是非常容易的。

咖啡馆的免费WiFi是一个理想的劫持环境，原因有二：

1.这种WiFi通常不加密，因此很容易监控所有流量。

2.WiFi通常使用NAT在外网和内网之间进行地址转换，所有内网客户端共享一个外网地址。这意味着被劫持的会话看起来像来自原始登录。

以推特为例。它的登录页面使用HTTPS，但是登录后，其他页面变成了HTTP。此时，其cookie中的会话值会被公开。

也就是说，这些cookie是在HTTPS环境中创建的，但在HTTP环境中传输。如果有人劫持了这些饼干，他可以像你一样在推特上发言。

原文：http://blog.httpwatch.com/2011/01/28/top-7-myths-about-https/译：http://www.ruanyifeng.com/blog/2011/02/seven _神话_关于_ https.html译者：阮一峰