Rekomendasi: Situs web perusahaan dipaksa untuk https?

Perusahaan saya ingin situs web "informasi" mereka ditulis ulang dari HTTP ke HTTPS. Secara teknis ini bukan masalah besar bagi saya. Tetapi saya ragu jika ini adalah yang terbaik karena satu-satunya alasan mereka menginginkan ini, adalah untuk mengenkripsi kontak dan mendaftar formulir. (Saya dapat mengaktifkan HTTPS untuk situs dengan formulir, namun, mereka tidak menyukai pendekatan itu.)

Apa kerugian dan kemunduran memiliki situs web perusahaan HTTPS saja? Apa pengalaman dan rekomendasi Anda?

Aplikasi web berjalan di URL lain dan dienkripsi.

Salam

Kami menjalankan beberapa situs web kami hanya pada HTTPS, atas permintaan administrator perusahaan yang ingin memberikan pesan "Kami memperlakukan privasi Anda dengan sangat serius", dan selain dari kebutuhan akan alamat IP khusus untuk setiap situs, kami telah tidak pernah melihat saluran apa pun di server kami.

Ini semua adalah situs dengan lalu lintas rendah, mungkin 1000-5000 hit sehari, sebagian besar dari pengunjung yang kembali.

Dengan HTTPS, Anda juga dapat kehilangan:

• Caching sisi klien (Caching HTTPS biasanya dianggap sebagai tidak-tidak, tetapi jika Anda secara eksplisit menentukan expiresheader, beberapa browser masih akan men-cache-nya)
• Waktu pemuatan cepat untuk pengguna dialup / latensi tinggi (jabat tangan HTTPS diabaikan untuk broadband, tetapi cukup terlihat untuk dialup atau orang di Thailand)

Jika hal-hal ini tidak membuat Anda khawatir (mereka tidak bagi pengguna atau perusahaan kami) maka saya katakan lakukanlah - tidak ada gunanya berdebat!

Jika situs web dapat diakses dari siapa pun, tidak ada gunanya di HTTPS selain mengaktifkannya untuk formulir, karena siapa pun dapat membaca halaman tersebut. Di sisi lain dampak HTTPS terhadap Server sangat rendah, terutama jika Anda menjalankan beberapa halaman dinamis yang akan membuat dampak HTTPS benar-benar tidak terlihat. Rekomendasi saya hanya akan menyalakannya di server Web, karena tidak ada yang benar-benar ditulis ulang, jika Anda pernah mendapatkan situasi di mana server Anda akan membutuhkan kinerja kecil ini yang diambil oleh HTTPS Anda dapat mematikannya, tetapi Anda mungkin tidak akan menyelesaikan masalah kinerja dengan melakukannya jika ada.

Jadi singkatnya, jauhkan diri Anda dari kerumitan memperebutkan sesuatu seperti ini dan hidupkan saja;)

HTTPS sedikit lebih lambat dan sedikit lebih intensif prosesor.

HTTP dapat dibaca oleh orang bodoh mana pun dengan sniffer paket.

Keuntungan menggunakan SSL:

• Informasi sensitif tidak dikirim secara jelas

Kerugian menggunakan SSL:

• Sertifikat dan proses perpanjangan membutuhkan waktu dan uang.
• Jika Anda mengacaukan sertifikat, Anda akan terlihat konyol di depan umum.
• Penggunaan CPU meningkat, membuat situs web Anda memuat lebih lambat. Ukur perbedaannya.
• Browser tidak menembolok objek yang diambil dari https, sehingga penggunaan bandwidth Anda akan meningkat dan pengunjung akan mengalami situs Anda lebih lambat, karena setiap objek diambil melalui jaringan. Perkirakan peningkatan penggunaan bandwidth berdasarkan penggunaan lalu lintas saat ini.

Jangan gunakan mod_rewrite untuk ini. Gunakan pengalihan http 301 atau 302.

Anda harus ingat untuk membeli dan memperbarui sertifikat SSL dari penyedia sertifikat akar yang diakui secara global. Jika Anda lupa untuk memperbarui, hilanglah seluruh situs Anda dengan pesan kesalahan.

Mengenkripsi hanya pengiriman formulir melindungi terhadap pengintaian biasa, tetapi seorang pria di tengah hanya akan menulis ulang pengiriman formulir untuk pergi ke url http polos. Jika formulir penting, halaman pengiriman formulir juga harus https dan formulir yang diberikan kepada pengguna https url pendek untuk mengetik dan menandai. Jika seluruh situs Anda dialihkan ke halaman https, Anda akan diindeks dalam https dan pengguna tidak perlu bergantung pada mengetik lagi.

Ini pertanyaan tentang model ancaman apa yang ingin Anda bela, dengan biaya sertifikat dan sedikit cpu.

Saya merasa menarik bahwa hampir setiap situs yang saya kunjungi menggunakan HTTPS di mana keamanan diperlukan dan HTTP di tempat lain. Saya berharap itu karena overhead yang dipaksakan oleh HTTPS, seperti yang telah disebutkan orang lain.

Lihat jawaban saya pada sebuah pertanyaan. Sementara pertanyaan awal mengenai JBoss dan AJP jawabannya termasuk mod_rewrite ruleset yang mengalihkan lalu lintas non-HTTPS ke HTTPS.

HTTPS akan memperlambat situs web Anda, tetapi bukan karena alasan yang disarankan orang lain. Ini tidak akan "menyedot CPU Anda", melainkan hanya meningkatkan latensi dengan menambahkan jabat tangan SSL ke jabat tangan TCP untuk setiap koneksi. Hal ini dapat menyebabkan kinerja turun drastis dalam situasi di mana banyak koneksi diperlukan untuk memuat halaman (misalnya banyak gambar dll) terutama jika Anda melepas HTTP keepalives.

Memiliki seluruh situs di HTTPS tentu membuat pengembangan lebih mudah - seluruh situs di HTTPS berarti pengembang Anda tidak perlu khawatir tentang bit mana yang perlu HTTP dan HTTPS, dan halaman mana yang perlu beralih dari satu ke yang lain, dan menyusun tautan absolut untuk yang lain-lain

Sebelumnya saya telah bekerja di situs-situs e-commerce yang menggunakan campuran dan sangat berbulu mencoba untuk beralih dari aman / tidak aman di halaman yang sesuai, terutama jika tata letak dan navigasi situs Anda rumit dan digunakan kembali dari satu halaman ke halaman lainnya ( yang biasanya ada di sebagian besar situs)

Lihat paypal.com untuk contoh seseorang yang memilih untuk hanya menaruh seluruh HTTPS situs mereka. Tetapi saya perhatikan bahwa bank jarang melakukannya.