我正在考虑将我的网站全面迁移到 https。我有一台服务器负责 HTML/PHP,还有 4 台服务器负责提供图片内容
现在显然所有图像服务器都需要是 https 以防止浏览器警告,但我想知道......
图像服务器是否需要与主 SSL 网站具有相同的加密强度?或者,无论密钥长度和所选密码如何,通过 https 提供服务就足够了。
我在谷歌上确实找不到任何关于这个的结论,但不可否认这是一个很难搜索的话题
答案1
这似乎与浏览器有关,但根据我的经验,浏览器只要求页面中替换的内容通过 HTTPS 加载。它们并不关心其强度。
答案2
简而言之,您可以正确地假设任何托管在 https:// 上使用任何类型的 SSL/TSL 等的外部资源都不会对您的任何访问者造成明显的影响。
当我们的支付卡处理器强制我们包含一些远程 JS 时,我们也遇到了同样的问题。
在对我们能找到的每种设备和浏览器组合进行一些研究之后(并使用一些网络工具,如 browsershots.org 和 modern.ie)。
我们发现,我们测试的所有浏览器在向客户端/访问者提供挂锁/安全连接徽标时,仅引用已加载页面的 URL(及其标题)。
在包含外部 JS/图像/小部件等时,包含的外部资源/文件具有用于 TLS/SSL 协商的截然不同的密码链是很常见的。
甚至专家撰写了我们自己的 PCI 标准每日扫描仪和我们发现的行业专家资源,例如www.ssllabs.com,为您提供有关您的服务器协商 TLS/SSL/SPDY 等的能力的概述和评分,它们甚至不加载文档内容,更不用说查找任何包含的外部资源。它们只是查看您在服务器级别进行握手的能力。
在我们的具体网站/example 提供对最新 TLS 版本以及谷歌新 SPDY 协议的支持,我们被 ssllabs.com 和所有显示安全标志的浏览器评为“A+”,即使该页面包含一个外部 javascript 资源,允许过时的 SSL3 和 64 位 SSL,但不允许使用较新的行业标准加密。