На самом деле мое единственное требование для использования SSL-шифрования - это то, что когда пользователь входит в систему, пароль передается в зашифрованном виде. Однако, прочитав немного о переключении протоколов, выяснилось, что сеанс HTTPS нельзя использовать как сеанс HTTP и т. Д. Я спрашивал себя, так ли плохо, что все приложение использует только HTTPS.
Каковы причины против этого и как вы оцениваете их важность? Также укажите:
Причины против: никто. Интернет - это небезопасная сеть, и с ней следует обращаться как с таковой.
О производительности:
Если ваша цель производительности не соответствует ответу <500 мс за 99% времени, SSL не является узким местом для вас. В большинстве случаев доступны гораздо более полезные улучшения производительности, чем отключение SSL.
Самый большой сбой производительности для HTTPS ir handshake, но вы можете перенести его:
- включение keepalive
- включение возобновления сеанса TLS, которое снижает стоимость ассиметрической криптографии, без возобновления сеанса, клиент при каждом запросе отправляет сертификат (несколько кб / с), а сервер должен выполнять дешифрование RSA ...
Для повышения производительности на стороне клиента / сервера более важно уменьшить количество запросов / ответов / сжатия контента и т. Д.
Если ваше серверное и клиентское программное обеспечение не сильно устарело, проблем с SSL быть не должно, за исключением установки сертификата / цепочки доверия на сервере и обновления сертификата ...
Помните, что 99% веб-приложений связаны с вводом-выводом, а не с процессором, поэтому SSL будет просто использовать неиспользуемые циклы ЦП сервера.
Вы не указываете, какой метод аутентификации вы используете. Если вы используете базовую аутентификацию, имейте в виду, что учетные данные отправляются с каждый запрос, пока браузер не закроется. в любом случае, нет смысла переключаться вниз.
При любом SSL-соединении единственным аспектом, влияющим на производительность, является первоначальное подтверждение соединения. После того, как клиент и сервер обменялись ключами, накладные расходы как на клиенте, так и на сервере незначительны, поэтому нет никакого реального вреда в продолжении SSL-соединения, если вы не имеете дело с сервером с очень большим объемом. Какую нагрузку вы ожидаете?
Согласен с СмоллКлангером и Кристапом.
У меня нет данных о влиянии на производительность, но я бы использовал полный SSL (ключевое слово Firesheep). Я знаю, что такие методы атак существуют годами, но сейчас осведомленность растет, и единственное реальное решение - это полный SSL.