Raccomandazione: sito Web della società costretto a https?

8

La mia azienda vuole che il loro sito Web "informativo" venga riscritto da HTTP a HTTPS. Tecnicamente questo non è un grosso problema per me. Ma ho dei dubbi se questo è all'avanguardia poiché l'unica ragione per cui lo desiderano è crittografare i contatti e iscriversi ai moduli. (Potrei abilitare HTTPS per il sito con i moduli, tuttavia, a loro non piace questo approccio.)

Quali sono gli svantaggi e le flessioni di avere un sito Web aziendale unico HTTPS? Qual è la tua esperienza e raccomandazione?

Le applicazioni Web sono in esecuzione su un altro URL e sono crittografate.

Saluti

website  https  rewrite 
zero_r
fonte
Forse mi manca qualcosa, ma come riscrivi qualcosa per essere https? Non abiliteresti semplicemente le pagine di quel sito a richiedere SSL attraverso il web server?
Bart Silverstrim,
3
Naturalmente userei mod_rewrite per inoltrare http: // richieste a https: //.
zero_r,

Risposte:

4

Eseguiamo alcuni dei nostri siti Web solo su HTTPS, su richiesta degli amministratori della società che volevano diffondere un messaggio "Prendiamo davvero sul serio la tua privacy" e, oltre alla necessità di un indirizzo IP dedicato per ciascun sito, abbiamo mai notato alcun drenaggio sui nostri server.

Questi sono tutti siti a basso traffico, forse 1000-5000 visite al giorno, principalmente da visitatori di ritorno.

Con HTTPS, puoi anche perdere:

  • Memorizzazione nella cache lato client (la memorizzazione nella cache HTTPS è generalmente considerata un no-no, ma se si specifica esplicitamente expiresun'intestazione, alcuni browser continueranno a memorizzarla nella cache)
  • Tempi di caricamento rapidi per utenti dialup / ad alta latenza (l'handshake HTTPS è trascurabile per la banda larga, ma abbastanza evidente per dialup o persone in Tailandia)

Se queste cose non ti preoccupano (non sono state per i nostri utenti o aziende), allora dico di provarci - non ha senso discutere!

Mark Henderson
fonte
Mi rendo conto che questa è una vecchia risposta, ma l'HTTPS che non memorizza nella cache è sempre stato in gran parte un mito. I browser obbediranno comunque alle direttive di memorizzazione nella cache come farebbero senza HTTPS, ovvero tratteranno qualcosa con "Scadenza" o "Controllo della cache: max-age = xx" allo stesso modo e faranno le stesse richieste e cose condizionali. Tutto ciò che perdi è la memorizzazione nella cache da proxy pubblici che non è una perdita e un tipo di punto dell'HTTPS. Il punto sulla latenza è assolutamente giusto, che è mitigato un po 'con la nuova tecnologia come TLS False Start, ma non completamente.
thomasrutter,
5

Se il sito Web è accessibile da chiunque in ogni caso, non c'è alcun punto reale in HTTPS oltre a abilitarlo per i moduli, dal momento che chiunque può leggere la pagina comunque. D'altro canto, l'impatto di HTTPS sul server è davvero basso, soprattutto se si esegue comunque una pagina dinamica che avrà un impatto davvero notevole su HTTPS. La mia raccomandazione sarebbe quella di accenderlo nel server Web, perché non c'è nulla da riscrivere davvero, se mai arrivassi a una situazione in cui il tuo server avrà bisogno di questa piccola prestazione che viene tolta da HTTPS potresti spegnerla, ma probabilmente non risolverai i tuoi problemi di prestazioni facendolo se ce ne sono.

Quindi, in breve, tieniti solo dalla seccatura che combatte per qualcosa di simile e basta accenderlo;)

Sideshowcoder
fonte
2

HTTPS è leggermente più lento e leggermente più intenso per il processore.

HTTP può essere letto da qualsiasi schmuck con uno sniffer di pacchetti.

Satanicpuppy
fonte
1
Leggermente più lento non inizia a descrivere il dolore che ciò provocherebbe agli utenti con connessioni ad alta latenza e / o bassa larghezza di banda!
Brian Knoblauch,
2
Meh. Se deve essere sicuro, deve essere sicuro.
Satanicpuppy
2

Vantaggi dell'utilizzo di SSL:

  • Le informazioni sensibili non vengono inviate in chiaro

Svantaggi dell'utilizzo di SSL:

  • Certificati e processi per il rinnovo costano tempo e denaro.
  • Se sbagli il certificato, sembrerai sciocco in un modo molto pubblico.
  • L'utilizzo della CPU aumenta, rendendo più lento il caricamento del sito Web. Misura la differenza.
  • I browser non memorizzano nella cache oggetti recuperati su https, quindi l'utilizzo della larghezza di banda aumenterà e i visitatori avvertiranno il tuo sito come più lento, perché ogni oggetto viene recuperato sulla rete. Stimare un maggiore utilizzo della larghezza di banda in base all'utilizzo corrente del traffico.

Non usare mod_rewrite per questo. Utilizzare i reindirizzamenti http 301 o 302.

Alex Holst
fonte
I tuoi punti sono validi. Solo una piccola nota: mod_rewrite supporta i reindirizzamenti 301 e 302 bene, e sarebbe davvero lo strumento che userei per forzare https.
Martijn Heemels,
Https è memorizzato nella cache, l'unica restrizione è che non finirà sul disco . Dettagli qui: stackoverflow.com/questions/174348/…
Tobu
1

Dovrai ricordarti di acquistare e rinnovare i certificati SSL da un provider di certificati radice riconosciuto a livello globale. Se si dimentica di rinnovare, l'intero sito viene visualizzato con un messaggio di errore.

Tom Willwerth
fonte
Bene, puoi ancora andare sul sito, basta ricevere un messaggio "Oh mio Dio, questo potrebbe essere malvagio", che la maggior parte degli utenti fa clic comunque attraverso. Ma immagino che se avessero altri siti SSL, avessero già i Certs necessari.
Sideshowcoder,
1

La crittografia del solo invio del modulo protegge dallo snooping casuale, ma un uomo nel mezzo semplicemente riscriverebbe l'invio del modulo per passare a un semplice URL http. Se i moduli sono importanti, anche la pagina di invio del modulo dovrebbe essere https e agli utenti del modulo dovrebbe essere fornito un breve URL https per digitare e aggiungere un segnalibro. Se l'intero sito reindirizza alle pagine https, verrai indicizzato in https e gli utenti non dovranno più fare affidamento sulla digitazione.

È una questione di quale modello di minaccia vuoi difendere, a costo di certificati e un po 'di CPU.

Tobu
fonte
1

Trovo interessante che quasi tutti i siti che visito utilizzino HTTPS dove è richiesta la sicurezza e HTTP altrove. Mi aspetto che ciò sia dovuto alle spese generali imposte da HTTPS, come altri hanno già detto.

John Gardeniers
fonte
0

Vedi la mia risposta su una domanda. Mentre quella domanda originale riguardava JBoss e AJP, la risposta includeva un set di regole mod_rewrite che reindirizza il traffico non HTTPS a HTTPS.

Jeremy Bouse
fonte
0

HTTPS rallenta il tuo sito web, ma non per i motivi che altri hanno suggerito. Non "succherà la tua CPU", ma aumenterà semplicemente la latenza aggiungendo l'handshake SSL agli handshake TCP per ogni connessione. Ciò può causare un calo considerevole delle prestazioni in situazioni in cui sono necessarie molte connessioni per caricare la pagina (ad es. Molte immagini, ecc.), Specialmente se non hai keepalive HTTP.

Avere l'intero sito su HTTPS semplifica sicuramente lo sviluppo: l'intero sito su HTTPS significa che i tuoi sviluppatori non devono preoccuparsi di quali bit devono essere HTTP e HTTPS e quali pagine devono passare da una all'altra e comporre collegamenti assoluti a quelli ecc.

In precedenza ho lavorato su siti di e-commerce che utilizzavano una miscela e diventa piuttosto peloso tentando di passare da sicuro / non sicuro alle pagine appropriate, in particolare se il layout del sito e la navigazione sono complicati e riutilizzati da una pagina all'altra ( che di solito è nella maggior parte dei siti)

Vedi paypal.com per un esempio di qualcuno che ha scelto di inserire il proprio intero sito HTTPS. Ma noto che le banche lo fanno raramente.

MarkR
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.