Rekomendasi: Situs web perusahaan dipaksa untuk https?

8

Perusahaan saya ingin situs web "informasi" mereka ditulis ulang dari HTTP ke HTTPS. Secara teknis ini bukan masalah besar bagi saya. Tetapi saya ragu jika ini adalah yang terbaik karena satu-satunya alasan mereka menginginkan ini, adalah untuk mengenkripsi kontak dan mendaftar formulir. (Saya dapat mengaktifkan HTTPS untuk situs dengan formulir, namun, mereka tidak menyukai pendekatan itu.)

Apa kerugian dan kemunduran memiliki situs web perusahaan HTTPS saja? Apa pengalaman dan rekomendasi Anda?

Aplikasi web berjalan di URL lain dan dienkripsi.

Salam

zero_r
sumber
Mungkin saya kehilangan sesuatu, tetapi bagaimana Anda menulis ulang sesuatu menjadi https? Tidakkah Anda hanya mengaktifkan halaman situs itu untuk meminta SSL melalui server web?
Bart Silverstrim
3
Tentu saja saya akan menggunakan mod_rewrite untuk meneruskan http: // permintaan ke https: //.
zero_r

Jawaban:

4

Kami menjalankan beberapa situs web kami hanya pada HTTPS, atas permintaan administrator perusahaan yang ingin memberikan pesan "Kami memperlakukan privasi Anda dengan sangat serius", dan selain dari kebutuhan akan alamat IP khusus untuk setiap situs, kami telah tidak pernah melihat saluran apa pun di server kami.

Ini semua adalah situs dengan lalu lintas rendah, mungkin 1000-5000 hit sehari, sebagian besar dari pengunjung yang kembali.

Dengan HTTPS, Anda juga dapat kehilangan:

  • Caching sisi klien (Caching HTTPS biasanya dianggap sebagai tidak-tidak, tetapi jika Anda secara eksplisit menentukan expiresheader, beberapa browser masih akan men-cache-nya)
  • Waktu pemuatan cepat untuk pengguna dialup / latensi tinggi (jabat tangan HTTPS diabaikan untuk broadband, tetapi cukup terlihat untuk dialup atau orang di Thailand)

Jika hal-hal ini tidak membuat Anda khawatir (mereka tidak bagi pengguna atau perusahaan kami) maka saya katakan lakukanlah - tidak ada gunanya berdebat!

Mark Henderson
sumber
Saya menyadari ini adalah jawaban lama, tetapi HTTPS bukan caching hal itu selalu merupakan mitos. Browser masih akan mematuhi arahan caching Anda seperti halnya tanpa HTTPS, yaitu mereka akan memperlakukan sesuatu dengan "Kedaluwarsa" atau "Kontrol cache: max-age = xx" dengan cara yang sama dan melakukan permintaan dan barang bersyarat yang sama. Yang Anda hilangkan adalah caching oleh proxy publik yang bukan merupakan kerugian dan jenis dari HTTPS. Poin tentang latensi benar-benar benar, yang sedikit dikurangi dengan teknologi baru seperti TLS False Start, tetapi tidak sepenuhnya.
thomasrutter
5

Jika situs web dapat diakses dari siapa pun, tidak ada gunanya di HTTPS selain mengaktifkannya untuk formulir, karena siapa pun dapat membaca halaman tersebut. Di sisi lain dampak HTTPS terhadap Server sangat rendah, terutama jika Anda menjalankan beberapa halaman dinamis yang akan membuat dampak HTTPS benar-benar tidak terlihat. Rekomendasi saya hanya akan menyalakannya di server Web, karena tidak ada yang benar-benar ditulis ulang, jika Anda pernah mendapatkan situasi di mana server Anda akan membutuhkan kinerja kecil ini yang diambil oleh HTTPS Anda dapat mematikannya, tetapi Anda mungkin tidak akan menyelesaikan masalah kinerja dengan melakukannya jika ada.

Jadi singkatnya, jauhkan diri Anda dari kerumitan memperebutkan sesuatu seperti ini dan hidupkan saja;)

Pembuat tontonan
sumber
2

HTTPS sedikit lebih lambat dan sedikit lebih intensif prosesor.

HTTP dapat dibaca oleh orang bodoh mana pun dengan sniffer paket.

Satanicpuppy
sumber
1
Sedikit lebih lambat tidak mulai menggambarkan rasa sakit yang akan ditimbulkan pada pengguna pada latensi tinggi dan / atau koneksi bandwidth rendah!
Brian Knoblauch
2
Ah. Jika perlu aman, itu harus aman.
Satanicpuppy
2

Keuntungan menggunakan SSL:

  • Informasi sensitif tidak dikirim secara jelas

Kerugian menggunakan SSL:

  • Sertifikat dan proses perpanjangan membutuhkan waktu dan uang.
  • Jika Anda mengacaukan sertifikat, Anda akan terlihat konyol di depan umum.
  • Penggunaan CPU meningkat, membuat situs web Anda memuat lebih lambat. Ukur perbedaannya.
  • Browser tidak menembolok objek yang diambil dari https, sehingga penggunaan bandwidth Anda akan meningkat dan pengunjung akan mengalami situs Anda lebih lambat, karena setiap objek diambil melalui jaringan. Perkirakan peningkatan penggunaan bandwidth berdasarkan penggunaan lalu lintas saat ini.

Jangan gunakan mod_rewrite untuk ini. Gunakan pengalihan http 301 atau 302.

Alex Holst
sumber
Poin Anda valid. Hanya sebuah catatan kecil: mod_rewrite mendukung 301 dan 302 pengalihan saja, dan memang akan menjadi alat yang saya gunakan untuk memaksa https.
Martijn Heemels
Https di-cache, satu-satunya batasan adalah beberapa tidak akan berakhir pada disk . Detail di sini: stackoverflow.com/questions/174348/…
Tobu
1

Anda harus ingat untuk membeli dan memperbarui sertifikat SSL dari penyedia sertifikat akar yang diakui secara global. Jika Anda lupa untuk memperbarui, hilanglah seluruh situs Anda dengan pesan kesalahan.

Tom Willwerth
sumber
Yah Anda masih bisa pergi ke situs, hanya mendapatkan pesan "Ya Tuhan ini mungkin jahat", yang sebagian besar Pengguna hanya mengklik melalui saja. Tapi saya kira jika mereka punya Situs SSL lain, mereka sudah mendapatkan Sertifikat yang diperlukan.
Sontoncoder
1

Mengenkripsi hanya pengiriman formulir melindungi terhadap pengintaian biasa, tetapi seorang pria di tengah hanya akan menulis ulang pengiriman formulir untuk pergi ke url http polos. Jika formulir penting, halaman pengiriman formulir juga harus https dan formulir yang diberikan kepada pengguna https url pendek untuk mengetik dan menandai. Jika seluruh situs Anda dialihkan ke halaman https, Anda akan diindeks dalam https dan pengguna tidak perlu bergantung pada mengetik lagi.

Ini pertanyaan tentang model ancaman apa yang ingin Anda bela, dengan biaya sertifikat dan sedikit cpu.

Tobu
sumber
1

Saya merasa menarik bahwa hampir setiap situs yang saya kunjungi menggunakan HTTPS di mana keamanan diperlukan dan HTTP di tempat lain. Saya berharap itu karena overhead yang dipaksakan oleh HTTPS, seperti yang telah disebutkan orang lain.

John Gardeniers
sumber
0

Lihat jawaban saya pada sebuah pertanyaan. Sementara pertanyaan awal mengenai JBoss dan AJP jawabannya termasuk mod_rewrite ruleset yang mengalihkan lalu lintas non-HTTPS ke HTTPS.

Jeremy Bouse
sumber
0

HTTPS akan memperlambat situs web Anda, tetapi bukan karena alasan yang disarankan orang lain. Ini tidak akan "menyedot CPU Anda", melainkan hanya meningkatkan latensi dengan menambahkan jabat tangan SSL ke jabat tangan TCP untuk setiap koneksi. Hal ini dapat menyebabkan kinerja turun drastis dalam situasi di mana banyak koneksi diperlukan untuk memuat halaman (misalnya banyak gambar dll) terutama jika Anda melepas HTTP keepalives.

Memiliki seluruh situs di HTTPS tentu membuat pengembangan lebih mudah - seluruh situs di HTTPS berarti pengembang Anda tidak perlu khawatir tentang bit mana yang perlu HTTP dan HTTPS, dan halaman mana yang perlu beralih dari satu ke yang lain, dan menyusun tautan absolut untuk yang lain-lain

Sebelumnya saya telah bekerja di situs-situs e-commerce yang menggunakan campuran dan sangat berbulu mencoba untuk beralih dari aman / tidak aman di halaman yang sesuai, terutama jika tata letak dan navigasi situs Anda rumit dan digunakan kembali dari satu halaman ke halaman lainnya ( yang biasanya ada di sebagian besar situs)

Lihat paypal.com untuk contoh seseorang yang memilih untuk hanya menaruh seluruh HTTPS situs mereka. Tetapi saya perhatikan bahwa bank jarang melakukannya.

MarkR
sumber