1. “不能被网络缓存，假如跨大陆访问，这个问题就显得比较重要”
网络缓存页面的时候，会缓存登录后的页面吗？比如，我用我的账号登录某个网址，那
别人登录同一个网址的时候，总不应该看到和我完全相同的内容吧？网络上的各级缓存
是仅仅缓存图片、JS、CSS之类的未过期静态文件吗？
是否缓存取决于中间的Proxy Server或是web server，任何html,js,css,img等资源都可以缓存。缓存的目的就是为了加速网络访问，节省网络带宽，比如大公司可能购买网络加速器，其实就是个代理服务器带有缓存功能，一个人访问了百度页面被缓存起来，别的人再访问百度页面时首先从缓存中查找页面。

2. “会加重服务器负担”
大概会加重什么量级？一般来说，并发数会降低到HTTP的一半 / 10分1 / 还是多
少？
HTTPS之所以为加重服务器负担是因为要进行SSL数据加解密，这个比较耗CPU，一般来说服务器的硬件配置都比较高，这点加解密不是大问题，并发数比HTTP要少一些，能减少30%就不错了。
  
3. “一台机器上只能用同一个SSL证书”
一个SSL证书绑定的究竟是IP / 域名 / 还是啥？
假如多台机器共用同一个域名和同一个private key，可以用同一个证书吗？
购买一个SSL证书，使用时间一般是多久？如果我的某一个机器不用了，可以立刻停止
使用那台机器上的证书，停止交钱吗？还是说一买就是一年，且只能用在一台机器+一
个域名上？
我看到的普通SSL证书大概在10美金/年左右。但是一个wildcard SSL证书就要300美
金。真的贵这么多么...
  
证书一般是与域名有关，SSL握手过程要检查证书里的hostname与实际访问的hostname是否一致，也要检查证书是否过期。一般证书是按年收费，不到期就可以一直使用。
用openssl自己生成一个私人证书也可以凑合使用，只不过浏览器会报证书错误(因为不是CA签发的)，但是不影响用户继续网络访问，直接点忽略即可。

4. HTTP可以很容易的被监听，泄露POST data，header等内容，没错吧？我看了几
个大网站的登录系统：
- 淘宝重定向到HTTPS
- 新浪用HTTP，但是RSA加密了password field
- 百度和163，直接用plain text POST用户名、密码
百度、163这么干真的没问题吗？

HTTP POST的数据一般都是明文，抓一下登录水木的包就知道了，密码是明文的！
不过HTTPS也不是绝对的安全，MITM就可以轻松地得到HTTPS传输的用户名密码。
连QQ的登录和聊天都可以被破解，没有绝对的安全，一切都是利益驱动的。
--
FROM 111.198.196.*