Назад | Перейти на главную страницу

Рекомендация: веб-сайт компании вынужден использовать https?

Моя компания хочет, чтобы их "информационный" веб-сайт был переписан с HTTP на HTTPS. Технически для меня это не имеет большого значения. Но я сомневаюсь, что это современное состояние, поскольку единственная причина, по которой они этого хотят, - это зашифровать контактные формы и формы регистрации. (Я мог бы включить HTTPS для сайта с формами, однако им такой подход не нравится.)

Каковы недостатки и недостатки веб-сайта компании, работающего только по протоколу HTTPS? Каков ваш опыт и рекомендации?

Веб-приложения работают по другому URL-адресу и зашифрованы.

С уважением

Если веб-сайт в любом случае доступен для всех, в HTTPS нет никакого смысла, кроме включения его для форм, так как любой может читать страницу в любом случае. С другой стороны, влияние HTTPS на сервер действительно невелико, особенно если вы все равно запускаете динамическую страницу, которая окажет влияние, которое HTTPS действительно незаметно. Я бы порекомендовал просто включить его на веб-сервере, потому что на самом деле нечего переписывать, если вы когда-нибудь попадете в ситуацию, когда вашему серверу понадобится эта небольшая производительность, которая снижается HTTPS, вы можете отключить ее, но вы, вероятно, не решите свои проблемы с производительностью, если они есть.

Короче говоря, просто держитесь от неприятностей, борясь с чем-то вроде этого, и просто включите его;)

Некоторые из наших веб-сайтов работают только по протоколу HTTPS, по запросу администраторов компании, которые хотели выдать сообщение «Мы очень серьезно относимся к вашей конфиденциальности», и помимо необходимости в выделенном IP-адресе для каждого сайта, мы ни разу не заметил утечки на наших серверах.

Все это сайты с низким трафиком, может быть, 1000-5000 посещений в день, в основном от повторных посетителей.

Используя HTTPS, вы также можете потерять:

  • Кэширование на стороне клиента (кэширование HTTPS обычно считается недопустимым, но если вы явно укажете expires заголовок, некоторые браузеры все равно кешируют его)
  • Быстрое время загрузки для коммутируемого доступа / пользователей с высокой задержкой (квитирование HTTPS незначительно для широкополосного доступа, но весьма заметно для коммутируемого доступа или людей в Таиланде)

Если вас это не беспокоит (а для наших пользователей или компаний - нет), то я говорю: дерзайте - спорить нет смысла!

HTTPS немного медленнее и потребляет больше ресурсов процессора.

HTTP может прочитать любой чмо с анализатором пакетов.

Преимущества использования SSL:

  • Конфиденциальная информация не передается в открытом виде

Недостатки использования SSL:

  • Сертификаты и процессы обновления требуют времени и денег.
  • Если вы испортите сертификат, вы будете выглядеть глупо на публике.
  • Использование ЦП увеличивается, что замедляет загрузку вашего сайта. Измерьте разницу.
  • Браузеры не кэшируют объекты, полученные по https, поэтому ваша пропускная способность увеличится, и посетители будут воспринимать ваш сайт как более медленный, потому что каждый объект загружается по сети. Оцените увеличенное использование полосы пропускания на основе текущего использования трафика.

Не используйте для этого mod_rewrite. Используйте редирект http 301 или 302.

Вам нужно будет не забыть покупать и продлевать SSL-сертификаты у всемирно признанного поставщика корневых сертификатов. Если вы забудете продлить подписку, появится сообщение об ошибке на всем сайте.

Шифрование только отправки формы защищает от случайного отслеживания, но человек посередине просто перепишет отправку формы, чтобы перейти на простой URL-адрес http. Если формы важны, страница отправки формы также должна быть https, а пользователям формы должен быть предоставлен короткий URL-адрес https для ввода и закладки. Если весь ваш сайт перенаправляется на страницы https, вы будете проиндексированы в https, и пользователям больше не придется полагаться на ввод текста.

Вопрос в том, от какой модели угроз вы хотите защитить, за счет сертификатов и небольшого количества процессора.

Мне интересно, что почти каждый сайт, который я посещаю, использует HTTPS там, где требуется безопасность, и HTTP где-то еще. Я ожидаю, что это связано с накладными расходами, накладываемыми HTTPS, как уже упоминалось другими.

Смотри мой ответ по вопросу. В то время как этот исходный вопрос касался JBoss и AJP, ответ включал набор правил mod_rewrite, который перенаправляет не-HTTPS-трафик на HTTPS.

HTTPS замедлит работу вашего веб-сайта, но не по причинам, предложенным другими. Это не будет «засасывать ваш процессор», а просто увеличивает задержку, добавляя квитирование SSL к квитанциям TCP для каждого соединения. Это может привести к значительному падению производительности в ситуациях, когда для загрузки страницы требуется много подключений (например, много изображений и т. Д.), Особенно если у вас отключены пакеты поддержки активности HTTP.

Наличие всего сайта на HTTPS, безусловно, упрощает разработку - весь сайт на HTTPS означает, что вашим разработчикам не нужно беспокоиться о том, какие биты должны быть HTTP и HTTPS, а какие страницы нужно переключать с одной на другую, и составлять абсолютные ссылки тем и т. д.

Раньше я работал над сайтами электронной коммерции, которые использовали смесь, и довольно сложно переключаться с безопасного / незащищенного на соответствующие страницы, особенно если макет вашего сайта и навигация сложны и повторно используются с одной страницы на другую ( который обычно есть на большинстве сайтов)

См. На сайте paypal.com пример человека, который решил просто разместить весь свой сайт по протоколу HTTPS. Но я замечаю, что банки это делают редко.