HTTPS untuk seluruh situs

10

Saya sedang mengerjakan situs web yang cukup standar dengan konten publik plus konten pribadi / khusus untuk pengguna terdaftar. Saya tahu saya harus menggunakan HTTPS ketika pengguna masuk atau mengirim detail kartu kredit. Apakah ada alasan saya tidak hanya menggunakan HTTPS untuk seluruh situs?

https BenV
sumber

Jawaban:

12

Ya, ada alasan Anda tidak boleh menggunakannya untuk seluruh situs. Beberapa browser (tergantung pada merek dan versi) tidak akan men-cache konten dari permintaan HTTPS ke disk, yang dapat sangat memperlambat pengalaman browsing untuk pengguna, karena aset statis akan dimuat dengan setiap permintaan halaman (style-sheet, javascript, gambar header dll) . Misalnya, Mozilla menyatakan bahwa:

"Disk caching menyimpan salinan file yang diunduh pada hard drive sehingga tidak perlu diunduh untuk ditampilkan kembali. Halaman ini dapat dilihat oleh siapa saja dengan izin ke folder cache. Halaman yang dikirimkan dengan enkripsi SSL sering berisi informasi sensitif dan caching halaman-halaman ini ke disk dapat menimbulkan risiko privasi. Preferensi ini mengontrol apakah akan cache ke halaman disk yang dikirim dengan enkripsi SSL. "

Bagaimana masing-masing cache peramban HTTPS agak diperdebatkan tetapi masih ada peluang bagus bahwa banyak pengguna akan menonaktifkan caching disk untuk permintaan HTTPS.

Kedua, HTTPS membutuhkan " jabat tangan " untuk setiap permintaan dan ini disertai dengan beberapa overhead, yang akan mempengaruhi kinerja dan membuat permintaan lebih besar (biasanya hanya dengan beberapa KB - tetapi itu untuk setiap permintaan dan ini bertambah). HTTP KeepAlive dapat membatasi ini, tetapi masih merupakan overhead yang tidak Anda perlukan untuk konten yang tidak aman.

Dan Diplo
sumber
2
Segalanya di sini benar. Namun kami telah menjalankan situs web SSL lengkap selama sekitar 5 tahun sekarang dan kami tidak pernah memiliki keluhan dari pengguna kami. Sebagian besar dari mereka adalah perusahaan jadi pada IE6 dan IE7 dengan beberapa di Firefox hari ini. Tembolok tampaknya berfungsi dengan baik, tetapi kami memiliki aturan kedaluwarsa konten yang ditetapkan pada banyak gambar, saya tidak tahu apakah itu membuat perbedaan.
Mark Henderson
5
Jangan menebak: tes :-). Satu cara sederhana (meskipun kasar & tidak 100% lengkap) untuk memeriksa apakah caching berfungsi adalah dengan memeriksa log server Anda untuk permintaan pengguna. Apakah mereka meminta semua gambar / file atau hanya konten yang tidak di-cache? Pengguna individu adalah penilaian latensi yang buruk, tetapi ketika digabungkan, milidetiknya dapat terlihat, jadi saya pasti akan memastikan bahwa kecepatannya benar-benar dapat diterima.
John Mueller 2-10
10

Jika Anda berencana untuk menjalankan SSL penuh, pastikan bahwa setiap layanan pihak ketiga yang di-host yang Anda gunakan (server iklan, analisis, alat berbagi, dll) memiliki versi SSL yang tersedia, atau Anda akan mendapatkan peringatan konten campuran di beberapa browser.

JasonBirch
sumber
5

Masalah lain adalah bahwa semua yang Anda layani dari halaman mana pun benar-benar harus melalui SSL, termasuk sumber daya pihak ketiga. Kami menemukan ini adalah masalah nyata dengan sesuatu seperti YouTube, misalnya. Karena Google tidak membuat video YouTube tersedia melalui SSL, itu berarti bahwa setiap video YouTube yang ingin Anda tanam di halaman di situs Anda akan menyebabkan peringatan "halaman ini berisi konten yang aman dan tidak aman". Meskipun ini halus di sebagian besar browser, ini adalah dialog besar di IE dan dapat menyebabkan beberapa pengguna meninggalkan situs Anda dengan cepat, sambil menggenggam data mereka di dada dengan ketakutan.

Bobby Jack
sumber
2

Anda juga harus memikirkan pertumbuhan. Setelah Anda memiliki lebih dari satu server web, Anda harus memutuskan: Apakah Anda ingin memberikan HTTPS pada setiap server individual, dan jika demikian, apakah Anda akan menggunakan sertifikat atau sertifikat yang sama per server seperti yang sering direkomendasikan. Saya telah melihat pengaturan yang lebih umum di mana ada lebih sedikit server HTTPS karena umumnya hanya digunakan untuk memproses rincian sensitif dan lebih banyak server HTTP karena mereka cenderung menerima sebagian besar lalu lintas. HTTPS menambahkan sedikit lebih banyak kompleksitas pada setiap pengaturan Anda. Hanya sesuatu yang perlu diingat.

gabe
sumber
1

Seperti yang saya lihat, satu-satunya alasan untuk tidak menggunakan HTTPS di seluruh situs Anda adalah karena hal itu akan memperlambat server Anda dan beberapa pengunjung memiliki pengalaman menjelajah yang sedikit lebih lambat. Yang sedang berkata, ada manfaatnya. Secara khusus:

  1. Anda tidak perlu khawatir tentang menempatkan data yang ingin Anda jaga tetap aman di halaman situs Anda. Kamu tidak bisa melupakan
  2. Pengguna akan melihat situs Anda sepenuhnya dienkripsi dan mungkin merasa lebih aman dalam memberikan informasi kepada Anda.
  3. Pengguna tahu bahwa situs web Anda adalah milik perusahaan Anda dan belum diambil alih.

Selain memudahkan pengembang Anda untuk tidak khawatir menampilkan data aman pada halaman yang tidak dienkripsi, sebenarnya tidak ada alasan teknis untuk menggunakan HTTPS di setiap halaman. Dengan alasan yang sama, ada sedikit alasan untuk tidak melakukannya.

Ben Hoffman
sumber
Alasan lain untuk tidak menggunakan HTTPS di seluruh situs ... lebih banyak bandwidth akan digunakan karena halaman tidak akan di-cache sisi klien (secara teoritis).
MrWhite
"Anda tidak perlu khawatir tentang menempatkan data yang ingin Anda jaga tetap aman di halaman mana pun di situs Anda." - Saya tidak yakin seberapa benar ini. Google akan mengindeks _and cache_ (!) Halaman-halaman ini secara default. Dan jika diminta, tampaknya melayani versi yang di-cache sebagai HTTP biasa.
MrWhite
0

last but not least, beberapa perusahaan tidak suka karyawan mereka menjelajah situs https "terenkripsi". Ini adalah kasus perusahaan dan organisasi pertahanan / keamanan, jadi jika Anda memiliki situs web "https only", Anda dapat kehilangan beberapa pengunjung / pelanggan ini, karena jaringan mereka tidak akan membiarkan mereka menelusuri situs Anda.

Radek
sumber
Apakah Anda punya bukti tentang ini? Bisakah Anda menautkan ke artikel yang mendukung klaim ini?
Andrew Lott
Saya memiliki pengalaman pribadi dengan topik ini. Saya menjalankan situs web besar yang berfokus pada militer dan ketika kami menguji pengaturan HTTPS, kami menemukan ini akan menjadi masalah bagi sebagian besar pengguna kami, hanya karena majikan mereka tidak mengizinkan penjelajahan https dari jaringan mereka (bahkan mengakses bank, wikipedia, dan situs lain melalui https tidak mungkin). Saya meluncurkan utas lain tentang cara mendekati masalah ini, ketika kami dipaksa oleh google untuk beralih ke https - ini bukan masalah yang diketahui semua orang, tetapi itu mungkin terjadi dan orang mungkin perlu mempertimbangkannya.
Radek
Saya menjelaskan kepada diri saya sendiri bahwa beberapa alat pemantauan perlu menonton "konten" paket pada proxy atau "man in the middle" antara pengguna dan situs web ini, untuk dapat memantau masalah keamanan, kerahasiaan atau apa pun, dan menggunakan pembatalan SSL. pemantauan tersebut. Jadi https tidak diperbolehkan di perusahaan-perusahaan ini (saya tidak mengatakan semuanya, tetapi jelas setidaknya di beberapa dari mereka, ya)
Radek