安装过SSL证书的网站会通过以https开头的网址来访问网站，但由于全站采用https访问网站可能会让网站变慢增加用户等待时间，因此有不少安装过SSL证书的网站采用的是注册、登录等页面用https加密访问而其他网站页面则采用http访问，那么这样有没有什么不好之处呢？

情况一：从http页面跳转访问https页面

事实上，在 PC 端上网很少有直接进入 HTTPS 网站的。例如支付宝网站，大多是从淘宝跳转过来，而淘宝使用的仍是不安全的 HTTP 协议。如果在淘宝网的页面里注入 XSS，屏蔽跳转到 HTTPS 的页面访问，用 HTTP 取而代之，那么用户也就永远无法进入安全站点了。

尽管地址栏里没有出现 HTTPS 的字样，但域名看起来也是正确的，大多用户都会认为不是钓鱼网站，因此也就忽视了。因此，只要入口页是不安全的，那么之后的页面再安全也无济于事。

情况二：http页面重定向到https页面

有一些用户通过输网址访问的，他们输入了支付宝网址就敲回车进入了。然而，浏览器并不知道这是一个 HTTPS 的站点，于是使用默认的 HTTP 去访问。不过这个 HTTP 版的支付宝的确也存在，其唯一功能就是重定向到自己 HTTPS 站点上。

劫持流量的中间人一旦发现有重定向到 HTTPS 站点的，于是拦下重定向的命令，自己去获取重定向后的站点内容，然后再回复给用户。于是，用户始终都是在 HTTP 站点上访问，自然就可以无限劫持了。

国外各大知名网站（PayPal,Twitter,Facebook,Gmail,Hotmail等）都通过Always on SSL（全站https）技术措施来保证用户机密信息和交易安全，防止会话攻击和中间人攻击。