carpii Asked: 2014-01-26 14:44:04 +0800 CST2014-01-26 14:44:04 +0800 CST 2014-01-26 14:44:04 +0800 CST 通过 https 提供图像内容,加密强度必须与主网站的加密强度相匹配吗? 772 我正在考虑将我的网站迁移到 https。我有一个负责 HTML/PHP 的服务器,以及 4 个其他提供图像内容的服务器 现在显然所有图像服务器都需要是 https 以防止浏览器警告,但我想知道.. 图像服务器是否需要与主 SSL 网站具有相同的加密强度?或者,无论密钥长度和选择的密码如何,它们都通过 https 提供服务就足够了。 我在谷歌上真的找不到任何关于这个的结论,但诚然,这是一个很难搜索的话题 ssl 2 个回答 Voted Best Answer Andrew Schulman 2014-01-26T14:45:39+08:002014-01-26T14:45:39+08:00 这似乎与浏览器相关,但根据我的经验,浏览器只要求页面中的替换内容由 HTTPS 加载。他们不在乎它是什么力量。 Alistair 2014-11-13T18:49:06+08:002014-11-13T18:49:06+08:00 简而言之,您正确假设在 https:// 上托管的任何具有任何类型 SSL/TSL 等的外部资源都不会对您的任何访问者造成明显影响。 当我们的支付卡处理器被迫包含一些远程 JS 时,我们遇到了完全相同的问题。 在对每种设备和浏览器组合进行一些研究之后,我们可以掌握(并使用一些网络工具,例如 browsershots.org 和 modern.ie。 我们发现我们测试的所有浏览器在向客户端/访问者提供挂锁/安全连接徽标时仅引用加载页面的 URL(及其标题)。 当包含外部 JS/图像/小部件等时,包含的外部资源/文件具有用于 TLS/SSL 协商的截然不同的密码链是很常见的。 甚至专家撰写我们自己的 PCI 标准每日扫描仪和我们发现的行业专家资源,如www.ssllabs.com,为您提供服务器协商 TLS/SSL/SPDY 等能力的概述和评分,他们甚至不加载文档内容,更不用说寻找任何包含的外部资源了。他们只看你在服务器级别握手的能力。 在我们提供对最新 TLS 版本以及谷歌新 SPDY 协议的支持的特定网站/示例中,我们授予 ssllabs.com 和所有显示安全徽标的浏览器的“A+”,即使该页面包含允许两者都过时的外部 javascript 资源SSL3 和 64 位 SSL 还没有更新的行业标准加密。
这似乎与浏览器相关,但根据我的经验,浏览器只要求页面中的替换内容由 HTTPS 加载。他们不在乎它是什么力量。
简而言之,您正确假设在 https:// 上托管的任何具有任何类型 SSL/TSL 等的外部资源都不会对您的任何访问者造成明显影响。
当我们的支付卡处理器被迫包含一些远程 JS 时,我们遇到了完全相同的问题。
在对每种设备和浏览器组合进行一些研究之后,我们可以掌握(并使用一些网络工具,例如 browsershots.org 和 modern.ie。
我们发现我们测试的所有浏览器在向客户端/访问者提供挂锁/安全连接徽标时仅引用加载页面的 URL(及其标题)。
当包含外部 JS/图像/小部件等时,包含的外部资源/文件具有用于 TLS/SSL 协商的截然不同的密码链是很常见的。
甚至专家撰写我们自己的 PCI 标准每日扫描仪和我们发现的行业专家资源,如www.ssllabs.com,为您提供服务器协商 TLS/SSL/SPDY 等能力的概述和评分,他们甚至不加载文档内容,更不用说寻找任何包含的外部资源了。他们只看你在服务器级别握手的能力。
在我们提供对最新 TLS 版本以及谷歌新 SPDY 协议的支持的特定网站/示例中,我们授予 ssllabs.com 和所有显示安全徽标的浏览器的“A+”,即使该页面包含允许两者都过时的外部 javascript 资源SSL3 和 64 位 SSL 还没有更新的行业标准加密。