HTTPS dla całej witryny

10

Pracuję na dość standardowej stronie internetowej z treściami publicznymi oraz treściami osobistymi / niestandardowymi dla zarejestrowanych użytkowników. Wiem, że muszę używać HTTPS, gdy użytkownicy logują się lub wysyłają dane karty kredytowej. Czy istnieje powód, dla którego nie powinienem używać HTTPS dla całej witryny?

https BenV
źródło

Odpowiedzi:

12

Tak, jest powód, dla którego nie powinieneś używać go w całej witrynie. Niektóre przeglądarki (w zależności od marki i wersji) nie buforują treści z żądań HTTPS na dysk, co może poważnie spowolnić przeglądanie przez użytkowników, ponieważ zasoby statyczne będą ładowane przy każdym żądaniu strony (arkusze stylów, javascript, obrazy nagłówków itp.) . Na przykład Mozilla stwierdza, że:

„Buforowanie dysku zapisuje kopie pobranych plików na dysku twardym, więc nie trzeba ich pobierać w celu ponownego wyświetlenia. Strony te mogą przeglądać każdy, kto ma uprawnienia do folderu pamięci podręcznej. Strony przesyłane za pomocą szyfrowania SSL często zawierają poufne informacje i buforowanie tych stron na dysk może stanowić zagrożenie dla prywatności. Ta preferencja określa, czy buforować strony dysku, które zostały przesłane za pomocą szyfrowania SSL ”.

Sposób, w jaki poszczególne przeglądarki buforują HTTPS, jest nieco kwestionowany, ale nadal istnieje duża szansa, że ​​wielu użytkowników wyłączy buforowanie dysku dla żądań HTTPS.

Po drugie, HTTPS wymaga „ uzgadniania ” dla każdego żądania, a to wiąże się z pewnym narzutem, który wpłynie na wydajność i zwiększy żądania (zwykle tylko o kilka KB - ale jest to dla każdego żądania i to się sumuje). HTTP KeepAlive może to ograniczyć, ale nadal jest to narzut, którego nie potrzebujesz w przypadku niezabezpieczonych treści.

Dan Diplo
źródło
2
Wszystko tutaj jest prawdą. Jednak od około 5 lat prowadzimy pełną witrynę SSL i nigdy nie otrzymaliśmy skargi od naszych użytkowników. Większość z nich jest korporacyjna, więc na IE6 i IE7, a kilka na Firefoxie. Buforowanie wydawało się działać dobrze, ale mieliśmy wiele reguł dotyczących wygasania treści na wielu obrazach, nie wiem, czy to miało znaczenie.
Mark Henderson
5
Nie zgaduj: test :-). Jednym prostym (choć z grubsza i nie w 100% kompletnym) sposobem sprawdzenia, czy buforowanie działa, jest sprawdzenie dzienników serwera pod kątem żądań użytkowników. Czy żądają wszystkich obrazów / plików, czy tylko nieposiadanej zawartości? Poszczególni użytkownicy źle oceniają opóźnienia, ale po zsumowaniu milisekundy mogą być widoczne, więc z pewnością upewnię się, że prędkość jest naprawdę do przyjęcia.
John Mueller
10

Jeśli planujesz uruchomić pełny protokół SSL, upewnij się, że wszelkie hostowane usługi stron trzecich, z których korzystasz (serwer reklam, analizy, narzędzia do udostępniania itp.) Mają dostępne wersje SSL, w przeciwnym razie w niektórych przeglądarkach pojawią się mieszane ostrzeżenia o treści.

JasonBirch
źródło
5

Kolejny problem polega na tym, że wszystko , co wyświetlasz na dowolnej stronie, naprawdę musi przejść przez SSL, w tym zasoby innych firm. Odkryliśmy, że to prawdziwy problem z np. YouTube. Ponieważ Google nie ma filmów z YouTube dostępny za pośrednictwem protokołu SSL, oznacza to, że każdy film z YouTube możesz zrobić chcesz zamieścić na stronie na swojej stronie spowoduje, że „ta strona zawiera bezpieczne i niezabezpieczonych treści” ostrzeżenie. Chociaż jest to subtelne w większości przeglądarek, jest to ogromne okno dialogowe w IE i może powodować, że niektórzy użytkownicy dość szybko porzucają twoją stronę, trzymając się ze strachu swoich danych.

Bobby Jack
źródło
2

Powinieneś także pomyśleć o wzroście. Gdy będziesz mieć więcej niż jeden serwer WWW, będziesz musiał zdecydować: czy chcesz zapewnić HTTPS na każdym serwerze, a jeśli tak, czy będziesz używać tego samego certyfikatu lub certyfikatu na serwer, jak to często zaleca się. Widziałem częstsze konfiguracje, w których jest mniej serwerów HTTPS, ponieważ są one zwykle używane tylko do przetwarzania poufnych danych i większej liczby serwerów HTTP, ponieważ mają one tendencję do odbierania większości ruchu. HTTPS dodaje nieco więcej złożoności do każdej konfiguracji. Tylko coś do zapamiętania.

Gabe.
źródło
1

Widzę, że jedynym powodem, aby nie używać HTTPS w całej witrynie, jest to, że spowolni ona trochę twój serwer, a odwiedzający mają nieco wolniejsze przeglądanie. Biorąc to pod uwagę, istnieją korzyści. Konkretnie:

  1. Nigdy nie będziesz musiał się martwić o umieszczenie danych, które chcesz zabezpieczyć na dowolnej stronie swojej witryny. Nie możesz zapomnieć.
  2. Użytkownicy zauważą, że twoja strona jest całkowicie zaszyfrowana i mogą czuć się bezpieczniej podając swoje informacje.
  3. Użytkownicy wiedzą, że Twoja witryna należy do Twojej firmy i nie została przejęta.

Poza tym, że programiści nie muszą się martwić wyświetlaniem bezpiecznych danych na niezaszyfrowanej stronie, tak naprawdę nie ma technicznego powodu, aby używać HTTPS na każdej stronie. Z tego samego rozumowania wynika, że ​​jest bardzo mało powodów, aby tego nie robić.

Ben Hoffman
źródło
Inny powód, aby nie używać HTTPS w całej witrynie ... zostanie wykorzystana większa przepustowość, ponieważ strony nie będą buforowane po stronie klienta (teoretycznie).
MrWhite
„Nigdy nie będziesz musiał się martwić o umieszczenie danych, które chcesz zabezpieczyć na dowolnej stronie witryny”. - Nie jestem pewien, czy to prawda. Google domyślnie indeksuje _ i cache_ (!) Te strony. I jeśli zostanie o to poproszony, wydaje się, że służy on do wersji buforowanej jako zwykły HTTP.
MrWhite
0

Wreszcie, kilku pracodawcom nie podoba się, że ich pracownicy przeglądają „zaszyfrowane” strony https. Dotyczy to firm i organizacji zajmujących się obroną / bezpieczeństwem, więc jeśli masz witrynę „Tylko https”, możesz stracić niektórych z tych gości / klientów, ponieważ ich sieć po prostu nie pozwoli im przeglądać Twojej witryny.

Radek
źródło
Czy masz na to jakieś dowody? Czy możesz link do artykułów, które potwierdzają to roszczenie?
Andrew Lott,
Mam osobiste doświadczenia z tym tematem. Prowadzę dużą witrynę wojskową i podczas testowania konfiguracji HTTPS okazało się, że będzie to problem dla dużej części naszych użytkowników tylko dlatego, że ich pracodawcy nie zezwalają na surfowanie https ze swojej sieci (nawet dostęp do banków, wikipedii i innych witryn za pośrednictwem https jest niemożliwe). Założyłem kolejny wątek na temat tego, jak podejść do tego problemu, kiedy Google zmusza nas do przejścia na https - nie jest to problem, o którym wszyscy wiedzą, ale może się zdarzyć i ludzie mogą go rozważyć.
Radek
Wyjaśniam sobie, że niektóre narzędzia do monitorowania muszą oglądać „zawartość” pakietów na serwerze proxy lub każdego „człowieka pośrodku” między tymi użytkownikami a stronami internetowymi, aby móc monitorować problemy z bezpieczeństwem, poufność lub cokolwiek innego, i korzystać z zakazów SSL takie monitorowanie. Dlatego https nie jest dozwolone w tych firmach (nie mówię o tym we wszystkich, ale oczywiście przynajmniej w niektórych z nich, tak)
Radek