HTTPS per l'intero sito

10

Sto lavorando a un sito Web abbastanza standard con contenuti pubblici oltre a contenuti personali / personalizzati per gli utenti registrati. So che devo utilizzare HTTPS quando gli utenti accedono o inviano i dettagli della carta di credito. C'è un motivo per cui non dovrei semplicemente usare HTTPS per l'intero sito?

https 
BenV
fonte

Risposte:

12

Sì, c'è un motivo per cui non dovresti usarlo per l'intero sito. Alcuni browser (a seconda della marca e della versione) non memorizzano nella cache il contenuto delle richieste HTTPS su disco, il che può rallentare notevolmente l'esperienza di navigazione per gli utenti, poiché le risorse statiche verranno caricate con ogni richiesta di pagina (fogli di stile, javascript, immagini di intestazione ecc.) . Ad esempio, Mozilla afferma che:

"La memorizzazione nella cache del disco salva copie dei file scaricati sul disco rigido in modo che non debbano essere scaricati per essere visualizzati nuovamente. Queste pagine possono essere visualizzate da chiunque abbia l'autorizzazione per la cartella cache. Le pagine trasmesse con crittografia SSL spesso contengono informazioni riservate e la memorizzazione nella cache di queste pagine su disco può presentare un rischio per la privacy. Questa preferenza controlla se memorizzare nella cache le pagine del disco che sono state trasmesse con la crittografia SSL. "

Il modo in cui i singoli browser memorizzano nella cache HTTPS è alquanto contestato, ma permane ancora una buona probabilità che molti utenti disporranno della memorizzazione nella cache del disco per le richieste HTTPS.

In secondo luogo, HTTPS richiede una " stretta di mano " per ogni richiesta e ciò comporta un certo sovraccarico, che influirà sulle prestazioni e aumenterà le richieste (in genere solo di pochi KB, ma è per ogni richiesta e questo si somma). HTTP KeepAlive può limitare questo, ma è comunque un sovraccarico che non è necessario per i contenuti non sicuri.

Dan Diplo
fonte
2
Tutto qui è vero. Tuttavia, gestiamo un sito Web SSL completo da circa 5 anni e non abbiamo mai avuto un reclamo da parte dei nostri utenti. La maggior parte di essi è aziendale così su IE6 e IE7 con pochi su Firefox in questi giorni. La memorizzazione nella cache sembrava funzionare bene, ma avevamo regole esplicite per la scadenza del contenuto impostate su molte immagini, non so se ciò avesse fatto la differenza.
Mark Henderson,
5
Non indovinare: prova :-). Un modo semplice (sebbene approssimativo e non completo al 100%) per verificare se la memorizzazione nella cache funziona è controllare i log del server per le richieste degli utenti. Stanno richiedendo tutte le immagini / i file o solo i contenuti non memorizzati nella cache? I singoli utenti sono cattivi giudici di latenza, ma quando aggregati, i millisecondi possono essere visibili, quindi mi assicurerei sicuramente che la velocità sia davvero accettabile.
John Mueller,
10

Se stai pianificando di eseguire SSL completo, assicurati che tutti i servizi di terze parti ospitati che stai utilizzando (ad server, analisi, strumenti di condivisione, ecc.) Abbiano versioni SSL disponibili, o riceverai avvisi di contenuto misto su alcuni browser.

JasonBirch
fonte
5

Un altro problema è che tutto che servi da qualsiasi pagina deve realmente passare tramite SSL, comprese le risorse di terze parti. Abbiamo scoperto che questo è un vero problema con qualcosa come YouTube, per esempio. Dal momento che Google non rende disponibili i video di YouTube tramite SSL, significa che qualsiasi video di YouTube che si fare da incorporare in una pagina del tuo sito farà sì che il "questa pagina contiene sicuro e non sicuro di contenuti" warning. Anche se questo è sottile nella maggior parte dei browser, è un enorme dialogo in IE e può causare alcuni utenti ad abbandonare il tuo sito abbastanza rapidamente, stringendo i loro dati sul petto nella paura.

Bobby Jack
fonte
2

Dovresti anche pensare alla crescita. Una volta che hai più di un singolo server web, dovrai decidere: vuoi fornire HTTPS su ogni singolo server e, in tal caso, utilizzerai lo stesso certificato o un certificato per server come spesso raccomandato. Ho visto configurazioni più comuni in cui ci sono meno server HTTPS in quanto vengono generalmente utilizzati solo per l'elaborazione di dettagli sensibili e più server HTTP poiché questi tendono a ricevere la maggior parte del traffico. HTTPS aggiunge un po 'più di complessità a ciascuna delle tue configurazioni. Solo qualcosa da tenere a mente.

Gabe.
fonte
1

A mio avviso, l'unico motivo per non utilizzare HTTPS su tutto il tuo sito è che rallenterà un po 'il tuo server e i visitatori avranno un'esperienza di navigazione leggermente più lenta. Detto questo, ci sono vantaggi. In particolare:

  1. Non dovrai mai preoccuparti di mettere i dati che vuoi proteggere su qualsiasi pagina del tuo sito. Non puoi dimenticare.
  2. Gli utenti noteranno che il tuo sito è interamente crittografato e potrebbero sentirsi più sicuri nel darti le loro informazioni.
  3. Gli utenti sanno che il tuo sito web appartiene alla tua azienda e non è stato acquisito.

Oltre a rendere più facile per i tuoi sviluppatori non preoccuparsi di mostrare dati sicuri su una pagina non crittografata, non c'è davvero alcun motivo tecnico per usare HTTPS su ogni pagina. Con lo stesso ragionamento, ci sono pochissime ragioni per non farlo.

Ben Hoffman
fonte
Altro motivo per non utilizzare HTTPS su tutto il sito ... verrà utilizzata una maggiore larghezza di banda poiché le pagine non verranno memorizzate nella cache sul lato client (teoricamente).
MrWhite,
"Non dovrai mai preoccuparti di mettere i dati che vuoi proteggere su qualsiasi pagina del tuo sito." - Non sono sicuro di quanto sia vero. Google indicizzerà _e memorizzerà nella cache (!) Queste pagine per impostazione predefinita. E se richiesto, sembra servire la versione cache come semplice HTTP.
MrWhite,
0

ultimo ma non meno importante, a molti datori di lavoro non piacciono i loro dipendenti che navigano su siti https "crittografati". Questo è il caso delle società e organizzazioni di difesa / sicurezza, quindi se si dispone di un sito Web "solo https", è possibile perdere alcuni di questi visitatori / clienti, poiché la loro rete semplicemente non consentirà loro di navigare nel sito.

Radek
fonte
Hai qualche prova di questo? Puoi collegarti ad articoli che supportano questa affermazione?
Andrew Lott,
Ho la mia esperienza personale con questo argomento. Gestisco un grande sito Web focalizzato sull'esercito e mentre abbiamo testato la configurazione HTTPS, abbiamo scoperto che questo rappresenterà un problema per gran parte dei nostri utenti, solo perché i loro datori di lavoro non consentono la navigazione https dalla loro rete (anche l'accesso a banche, Wikipedia e altri siti tramite https è impossibile). Ho lanciato un altro thread su come affrontare questo problema, quando siamo costretti da Google a passare a HTTPS: questo non è un problema che tutti conoscono, ma potrebbe accadere e le persone potrebbero doverlo considerare.
Radek,
Spiego a me stesso che alcuni strumenti di monitoraggio devono guardare il "contenuto" dei pacchetti su proxy o qualsiasi "uomo in mezzo" tra questi utenti e siti Web, per essere in grado di monitorare problemi di sicurezza, segretezza o altro, e utilizzare SSL non certificati tale monitoraggio. Quindi https non è consentito in queste società (non lo dirò in tutte, ma ovviamente almeno in alcune di esse, sì)
Radek,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.