it-swarm.com.de

HTTPS für die gesamte Site

Ich arbeite an einer Standardwebsite mit öffentlichen Inhalten und persönlichen/benutzerdefinierten Inhalten für registrierte Benutzer. Ich weiß, dass ich HTTPS verwenden muss, wenn Benutzer sich anmelden oder Kreditkartendaten senden. Gibt es einen Grund, warum ich nicht einfach HTTPS für die gesamte Site verwenden sollte?

10
BenV

Ja, es gibt einen Grund, warum Sie es nicht für die gesamte Website verwenden sollten. Einige Browser (je nach Marke und Version) können den Inhalt von HTTPS-Anfragen nicht auf der Festplatte zwischenspeichern, was die Browsererfahrung für Benutzer erheblich verlangsamen kann, da statische Elemente bei jeder Seitenanfrage (Stylesheets, Javascript, Header-Bilder usw.) geladen werden. . Zum Beispiel Mozilla sagt dass:

"Durch das Zwischenspeichern von Datenträgern werden Kopien der heruntergeladenen Dateien auf der Festplatte gespeichert, sodass sie nicht heruntergeladen werden müssen, um erneut angezeigt zu werden. Diese Seiten können von jedem mit Berechtigung für den Cache-Ordner angezeigt werden. Mit SSL-Verschlüsselung übertragene Seiten enthalten häufig vertrauliche Informationen Das Zwischenspeichern dieser Seiten auf der Festplatte stellt möglicherweise ein Datenschutzrisiko dar. Diese Einstellung steuert, ob Seiten, die mit SSL-Verschlüsselung übertragen wurden, auf der Festplatte zwischengespeichert werden sollen. "

Wie einzelne Browser HTTPS zwischenspeichern, ist etwas umstritten , aber es besteht immer noch eine gute Chance, dass bei vielen Benutzern das Zwischenspeichern von Festplatten für HTTPS-Anforderungen deaktiviert wird.

Zweitens erfordert HTTPS für jede Anforderung ein " Handshake ". Dies ist mit einem gewissen Overhead verbunden, der die Leistung beeinträchtigt und die Anforderungen vergrößert (normalerweise nur um einige KB). Dies gilt jedoch für jede Anforderung und summiert sich auf ). HTTP KeepAlive kann dies einschränken, aber es ist immer noch ein Overhead, den Sie für nicht sichere Inhalte nicht benötigen.

12
Dan Diplo

Wenn Sie Voll-SSL ausführen möchten, stellen Sie sicher, dass alle von Ihnen verwendeten gehosteten Dienste von Drittanbietern (Anzeigenserver, Analysen, Freigabe-Tools usw.) über SSL-Versionen verfügen. Andernfalls erhalten Sie in einigen Browsern Warnungen zu gemischtem Inhalt.

10
JasonBirch

Ein weiteres Problem ist, dass alles, das Sie von jeder Seite aus bedienen, dann wirklich über SSL gesendet werden muss, einschließlich Ressourcen von Drittanbietern. Wir haben festgestellt, dass dies zum Beispiel bei YouTube ein echtes Problem ist. Da Google YouTube-Videos nicht über SSL zur Verfügung stellt, bedeutet dies, dass alle YouTube-Videos, die Sie tun in eine Seite Ihrer Website einbetten möchten, dazu führen, dass "diese Seite sicheren und nicht sicheren Inhalt enthält". Warnung. Während dies in den meisten Browsern subtil ist, ist es in IE ein riesiger Dialog, der dazu führen kann, dass einige Benutzer Ihre Website ziemlich schnell verlassen und ihre Daten aus Angst an ihre Brust pressen.

5
Bobby Jack

Sie sollten auch über Wachstum nachdenken. Sobald Sie über mehr als einen Webserver verfügen, müssen Sie sich entscheiden: Möchten Sie HTTPS auf jedem einzelnen Server bereitstellen, und verwenden Sie in diesem Fall dasselbe Zertifikat oder ein Zertifikat pro Server, das häufig empfohlen wird. Ich habe häufigere Setups mit weniger HTTPS-Servern gesehen, da diese im Allgemeinen nur für die Verarbeitung vertraulicher Daten und mehr HTTP-Server verwendet werden, da diese tendenziell den Großteil des Datenverkehrs empfangen. HTTPS verleiht jedem Ihrer Setups ein wenig mehr Komplexität. Nur etwas zu beachten.

2
gabe.

Aus meiner Sicht ist der einzige Grund, HTTPS nicht auf Ihrer gesamten Website zu verwenden, dass es Ihren Server verlangsamt und die Benutzer etwas langsamer surfen. Davon abgesehen gibt es Vorteile. Speziell:

  1. Sie müssen sich niemals darum kümmern, Daten, die Sie sicher aufbewahren möchten, auf einer Seite Ihrer Website zu platzieren. Du kannst nicht vergessen.
  2. Die Nutzer werden feststellen, dass Ihre Website vollständig verschlüsselt ist, und fühlen sich möglicherweise sicherer, wenn sie Ihnen ihre Informationen geben.
  3. Benutzer wissen, dass Ihre Website zu Ihrem Unternehmen gehört und nicht übernommen wurde.

Abgesehen davon, dass es Ihren Entwicklern leichter fällt, sichere Daten auf einer unverschlüsselten Seite anzuzeigen, gibt es wirklich keinen technischen Grund, HTTPS auf jeder Seite zu verwenden. Aus der gleichen Überlegung gibt es sehr wenig Grund, dies nicht zu tun.

1
Ben Hoffman

nicht zuletzt mögen es einige Arbeitgeber nicht, wenn ihre Mitarbeiter auf "verschlüsselten" https-Websites surfen. Dies ist der Fall bei Verteidigungs-/Sicherheitsunternehmen und -organisationen. Wenn Sie also eine "Nur-https" -Website haben, können Sie einige dieser Besucher/Kunden verlieren, da deren Netzwerk sie einfach nicht auf Ihrer Website browsen lässt.

0
Radek