通过https服务图像内容,必须使encryption强度与主网站的encryption强度相匹配吗?

我正在看我的网站迁移到整个HTTPS。 我有一个负责HTML / PHP的服务器,以及另外4台服务器提供图像内容

现在显然,所有的图像服务器都需要https来防止浏览器警告,但我想知道..

是否有任何要求的图像服务器与主SSL网站的encryption强度相同? 还是足够的,他们通过https服务,无论密钥长度和select密码。

我无法在Google上发现任何确凿的结论,但无可否认,这是一个难以search的主题

这看起来好像可能是依赖于浏览器的,但根据我的经验,浏览器只需要用HTTPS加载页面中的replace内容即可。 他们不在乎它是多么的强大。

简而言之,假设您使用任何types的SSL / TSL等托pipe在https://上的外部资源都不会对访问者造成任何明显的影响。

当我们被我们的支付卡处理器强制包含一些远程JS时,我们也有同样的问题。

经过对每个设备和浏览器组合的研究,我们可以掌握(并使用一些networking工具,如browsershots.org和modern.ie。

我们发现我们testing的所有浏览器只有在为客户/访客提供挂锁/安全连接标识时,才会被加载到页面的URL(以及它的标题)。

当包含外部JS /图像/小部件等时,包含的外部资源/文件具有用于TLS / SSL协商的大量不同的密码链是非常常见的。

即使是专家写了我们自己的PCI标准每日扫描仪和行业专家资源,我们发现像www.ssllabs.com ,给你一个概述和您的服务器上谈判TLS / SSL / SPDY等级,他们甚至不加载文件内容,更不用说寻找任何包含的外部资源。 他们只是看着你在服务器层面握手的能力。

在我们特定的网站 /示例中,为最新的TLS版本提供支持以及Google新的SPDY协议,我们授予ssllabs.com和显示安全标识的所有浏览器的“A +”,即使页面包含允许过期的外部JavaScript资源SSL3和64位SSL,但没有新的行业标准encryption。