慎用免费HTTPS：看似美好的免费“通用SSL证书”

上个月月底，CloudFlare宣布向所有客户提供免费的SSL支持。一时间，全世界的云计算供应商以及开发者大为欣喜，首先作为一个网站管理员，他可以在更小的成本下为客户提供更加安全的服务，并且Google在早些时候也发布公告说对使用HTTPS的网站进行优先排名。

但是这块蛋糕真的和大家说的那样好吗？经过一些简单的研究，我们发现了这项服务存在的一些弊端：

1、根据CloudFlare的官方博客，我们可以看到，首先CloudFlare只支持扩展支持Server Name Indication(SNI)协议的现代浏览器，而根据官方的数据统计，中国只有58.22%的HTTP请求符合这一协议，那就意味着如果你是一个中国本土的网站管理员，你如果想要使用CloudFlare的这项免费服务，你就要丢失接近一半的用户。

2、CloudFlare作为一家CDN提供商，他为免费用户提供的服务室不完整的，根据官网SSL服务的介绍，CloudFlare仅会在浏览器与CloudFlare的通讯中加密，CloudFlare与本地服务器的通讯本身并没有加密。网站管理员仍然要购买SSL认证，才可以全面加密。虽然免费版不能全面加密，但能够做到上述这样，已经总比没有的好很多。对于各位用户来说，日后上网看网站就可以更加安心了。

3、最后一点是政策风险，不知大家是否记得以前曾经有一个G开头的国外公司可以免费提供一个长达一年的SSL证书？我想不少人也肯定是用过的，但是据反映，一些流量大，涉及到评论、交流的网站最后都消失在了中国的互联网上。至于个中细节和原因不再赘述，目前国内带有SSL证书的主流网站还是很少的，尤其是百度对https网站的不友好大家也是有目共睹的。

不是说只要有提供免费的厂商我们就要抨击，本文的目的只是希望各位网站管理员可以权衡利弊，不要见到免费的就不假思索的就去使用，毕竟你还是要对你的网站访客负责，在中国的大环境下，我们要做的还有很多很多。