Рекомендация: сайт компании вынужден перейти на https?

Моя компания хочет, чтобы их «информационный» веб-сайт был переписан с HTTP на HTTPS. Технически это не имеет большого значения для меня. Но я сомневаюсь, что это современное состояние, поскольку единственная причина, по которой они этого хотят, - это зашифровать контакты и подписать формы. (Я мог бы включить HTTPS для сайта с формами, однако, им не нравится такой подход.)

Каковы недостатки и недостатки наличия веб-сайта компании HTTPS? Каков ваш опыт и рекомендации?

Веб-приложения работают по другому URL-адресу и зашифрованы.

С уважением

Мы запускаем несколько наших веб-сайтов только по протоколу HTTPS, по запросу администраторов компании, которые хотели выдать сообщение «Мы действительно серьезно относимся к вашей конфиденциальности», и кроме необходимости выделенного IP-адреса для каждого сайта, мы никогда не заметил утечки на наших серверах.

Это все сайты с низким трафиком, может быть, 1000-5000 посещений в день, в основном от постоянных посетителей.

С HTTPS вы также можете потерять:

• Кэширование на стороне клиента (Кэширование HTTPS обычно считается нет-нет, но если вы явно укажете expiresзаголовок, некоторые браузеры все равно будут его кешировать)
• Быстрое время загрузки для пользователей с коммутируемым доступом / высокой задержкой (квитирование HTTPS незначительно для широкополосного доступа, но заметно для дозвона или людей в Таиланде)

Если эти вещи вас не беспокоят (они не беспокоили наших пользователей или компании), тогда я говорю: дерзайте - спорить нет смысла!

Если веб-сайт доступен кому-либо в любом случае, то в HTTPS нет никакого смысла, кроме как включить его для форм, так как любой может прочитать страницу в любом случае. С другой стороны, влияние HTTPS на Сервер очень низкое, особенно если вы все равно запускаете какую-то динамическую страницу, что сделает влияние HTTPS действительно незаметным. Я бы порекомендовал просто включить его на веб-сервере, потому что переписывать на самом деле нечего, если вы когда-нибудь попадете в ситуацию, когда вашему серверу понадобится такая небольшая производительность, которую HTTPS отнимает, вы можете отключить ее, но, вероятно, вы не решите свои проблемы с производительностью, если таковые будут.

Короче говоря, просто держите себя в стороне от драки о чем-то подобном и просто включите ее;)

HTTPS немного медленнее и немного загружает процессор.

HTTP может быть прочитан любым чмо с помощью анализатора пакетов.

Преимущества использования SSL:

• Конфиденциальная информация не отправляется в открытом виде

Недостатки использования SSL:

• Сертификаты и процессы для продления стоят времени и денег.
• Если вы испортите сертификат, вы будете выглядеть глупо публично.
• Загрузка ЦП увеличивается, замедляя загрузку вашего сайта. Измерьте разницу.
• Браузеры не кэшируют объекты, извлеченные по https, поэтому использование полосы пропускания будет увеличиваться, и посетители будут воспринимать ваш сайт медленнее, поскольку каждый объект выбирается по сети. Оцените увеличение использования полосы пропускания на основе текущего использования трафика.

Не используйте mod_rewrite для этого. Используйте http 301 или 302 перенаправления.

Вам нужно будет помнить, чтобы покупать и обновлять SSL-сертификаты у всемирно признанного поставщика корневых сертификатов. Если вы забыли продлить, весь ваш сайт отправляется с сообщением об ошибке.

Шифрование только отправки формы защищает от случайного отслеживания, но человек посередине просто переписывает отправку формы, чтобы перейти к простому http URL. Если формы важны, страница отправки формы также должна быть https, и пользователям формы следует дать короткий https URL для ввода и закладки. Если весь ваш сайт будет перенаправлен на страницы https, вы будете проиндексированы в https, и пользователям больше не придется полагаться на набор текста.

Вопрос в том, от какой модели угроз вы хотите защищаться, за счет сертификатов и небольшого количества ресурсов процессора.

Мне интересно, что почти каждый сайт, который я посещаю, использует HTTPS, где требуется безопасность, и HTTP в других местах. Я ожидаю, что это из-за накладных расходов, наложенных HTTPS, как уже упоминали другие.

Смотрите мой ответ на вопрос. Хотя этот первоначальный вопрос касался JBoss и AJP, в ответ был включен набор правил mod_rewrite, который перенаправляет трафик не-HTTPS в HTTPS.

HTTPS замедлит работу вашего веб-сайта, но не по причинам, предложенным другими. Он не будет "высасывать ваш процессор", а просто увеличивает задержку, добавляя SSL-квитирования к TCP-квитированиям для каждого соединения. Это может привести к значительному снижению производительности в ситуациях, когда для загрузки страницы требуется много подключений (например, много изображений и т. Д.), Особенно если у вас отключена поддержка активности HTTP.

Наличие всего сайта на HTTPS, безусловно, облегчает разработку - весь сайт на HTTPS означает, что вашим разработчикам не нужно беспокоиться о том, какие биты должны быть HTTP и HTTPS, а какие страницы нужно переключать с одной на другую, а также составлять абсолютные ссылки к тем и т. д.

Ранее я работал над сайтами электронной коммерции, на которых использовалась смесь, и это становится довольно странным, когда я пытаюсь переключиться с безопасного на небезопасный на соответствующих страницах, особенно если ваш сайт сложен и навигация сложна и повторно используется с одной страницы на другую ( что обычно на большинстве сайтов)

Посмотрите paypal.com для примера кого-то, кто решил просто поставить свой сайт HTTPS. Но я замечаю, что банки редко делают это.