Khuyến nghị: Trang web công ty buộc phải https?

8

Công ty của tôi muốn trang web "thông tin" của họ được viết lại từ HTTP sang HTTPS. Về mặt kỹ thuật, đây không phải là vấn đề lớn đối với tôi. Nhưng tôi nghi ngờ nếu đây là công nghệ tiên tiến vì lý do duy nhất họ muốn điều này, là để mã hóa các hình thức liên lạc và đăng ký. (Tôi có thể kích hoạt HTTPS cho trang web bằng các biểu mẫu, tuy nhiên, họ không thích cách tiếp cận đó.)

Những bất lợi và suy thoái của việc có một trang web công ty chỉ HTTPS là gì? Kinh nghiệm và đề nghị của bạn là gì?

Ứng dụng web đang chạy trên một URL khác và được mã hóa.

Trân trọng

website  https  rewrite 
zero_r
nguồn
Có thể tôi đang thiếu một cái gì đó, nhưng làm thế nào để bạn viết lại một cái gì đó thành https? Bạn sẽ không kích hoạt các trang của trang đó để yêu cầu SSL thông qua máy chủ web chứ?
Bart Silverstrim
3
Tất nhiên tôi sẽ sử dụng mod_rewrite để chuyển tiếp các yêu cầu http: // tới https: //.
zero_r

Câu trả lời:

4

Chúng tôi chỉ điều hành một số trang web của chúng tôi trên HTTPS, theo yêu cầu của quản trị viên công ty muốn đưa ra thông báo "Chúng tôi rất coi trọng quyền riêng tư của bạn" và ngoài nhu cầu về địa chỉ IP dành riêng cho mỗi trang web, chúng tôi còn không bao giờ nhận thấy bất kỳ cống trên máy chủ của chúng tôi.

Đây là tất cả các trang web có lưu lượng truy cập thấp, có thể 1000-5000 lượt truy cập mỗi ngày, chủ yếu là từ khách truy cập quay lại.

Với HTTPS, bạn cũng có thể mất:

  • Bộ nhớ đệm phía máy khách (Bộ nhớ đệm HTTPS thường được coi là không, nhưng nếu bạn chỉ định rõ ràng một expirestiêu đề, một số trình duyệt sẽ vẫn lưu nó vào bộ đệm)
  • Thời gian tải nhanh cho người dùng quay số / độ trễ cao (bắt tay HTTPS là không đáng kể đối với băng thông rộng, nhưng khá đáng chú ý đối với quay số hoặc người ở Thái Lan)

Nếu những điều này không làm bạn lo lắng (chúng không làm cho người dùng hoặc công ty của chúng tôi) thì tôi nói hãy làm điều đó - không có gì phải bàn cãi!

Mark Henderson
nguồn
Tôi nhận ra đây là một câu trả lời cũ, nhưng HTTPS không lưu vào bộ nhớ cache luôn luôn là một huyền thoại. Các trình duyệt vẫn sẽ tuân theo các chỉ thị lưu trữ của bạn như không có HTTPS, tức là họ sẽ xử lý một cái gì đó bằng "Hết hạn" hoặc "Kiểm soát bộ đệm: max-age = xx" theo cùng một cách và thực hiện cùng các yêu cầu và công cụ có điều kiện. Tất cả những gì bạn mất là bộ nhớ đệm của các proxy công cộng không phải là một mất mát và là điểm của HTTPS. Tuy nhiên, quan điểm về độ trễ là hoàn toàn đúng, được giảm nhẹ một chút với công nghệ mới như TLS false Start, nhưng không hoàn toàn.
thomasrutter
5

Nếu trang web có thể truy cập được từ bất kỳ ai thì dù sao cũng không có điểm thực trong HTTPS ngoài việc kích hoạt nó cho các biểu mẫu, vì dù sao ai cũng có thể đọc trang. Mặt khác, tác động của HTTPS đối với Máy chủ là rất thấp, đặc biệt là nếu bạn đang chạy một số trang động, điều này sẽ làm cho tác động mà HTTPS thực sự không thể nhận thấy. Khuyến nghị của tôi sẽ chỉ là bật nó lên máy chủ Web, vì thực sự không có gì để viết lại, nếu bạn từng gặp Tình huống mà máy chủ của bạn sẽ cần hiệu năng nhỏ này bị HTTPS lấy đi, bạn có thể tắt nó đi, nhưng bạn có thể sẽ không giải quyết vấn đề hiệu suất của bạn khi làm điều đó nếu có.

Vì vậy, trong ngắn hạn, chỉ cần giữ cho bản thân khỏi những rắc rối chiến đấu về một cái gì đó như thế này và chỉ cần bật nó lên;)

Trình diễn
nguồn
2

HTTPS chậm hơn một chút và xử lý chuyên sâu hơn một chút.

HTTP có thể được đọc bởi bất kỳ schmuck nào với trình thám thính gói.

Satanicpuppy
nguồn
1
Hơi chậm một chút không bắt đầu mô tả nỗi đau mà điều này sẽ gây ra cho người dùng về độ trễ cao và / hoặc kết nối băng thông thấp!
Brian Knoblauch
2
Meh. Nếu nó cần được bảo mật, nó cần được bảo mật.
Satanicpuppy
2

Ưu điểm khi sử dụng SSL:

  • Thông tin nhạy cảm không được gửi rõ ràng

Nhược điểm khi sử dụng SSL:

  • Giấy chứng nhận và quy trình đổi mới chi phí thời gian và tiền bạc.
  • Nếu bạn làm hỏng chứng chỉ, bạn sẽ trông thật ngớ ngẩn theo cách rất công khai.
  • Việc sử dụng CPU tăng lên, làm cho trang web của bạn tải chậm hơn. Đo lường sự khác biệt.
  • Các trình duyệt không lưu các đối tượng bộ đệm được tìm nạp qua https, vì vậy việc sử dụng băng thông của bạn sẽ tăng lên và khách truy cập sẽ trải nghiệm trang web của bạn chậm hơn, vì mỗi đối tượng được tìm nạp qua mạng. Ước tính tăng sử dụng băng thông dựa trên việc sử dụng lưu lượng hiện tại.

Đừng sử dụng mod_rewrite cho việc này. Sử dụng chuyển hướng http 301 hoặc 302.

Alex Holst
nguồn
Điểm của bạn là hợp lệ. Chỉ cần một lưu ý nhỏ: mod_rewrite hỗ trợ chuyển hướng 301 và 302 tốt, và thực sự sẽ là công cụ tôi sử dụng để buộc https.
Martijn Heemels
Https được lưu trữ, hạn chế duy nhất là một số trong số đó sẽ không kết thúc trên đĩa . Chi tiết tại đây: stackoverflow.com/questions/174348/ Mạnh
Tobu
1

Bạn sẽ cần nhớ mua và gia hạn chứng chỉ SSL từ nhà cung cấp chứng chỉ gốc được công nhận trên toàn cầu. Nếu bạn quên gia hạn, toàn bộ trang web của bạn sẽ xuất hiện thông báo lỗi.

Tom Willwerth
nguồn
Chà, bạn vẫn có thể truy cập trang web, chỉ cần nhận được Thông báo "Ôi chúa ơi, điều này có thể là xấu xa", mà hầu hết người dùng chỉ cần nhấp vào máng. Nhưng tôi đoán nếu họ có các Trang web SSL khác, họ đã có các Certs cần thiết.
Soder
1

Mã hóa chỉ gửi biểu mẫu bảo vệ chống lại việc rình mò thông thường, nhưng một người đàn ông ở giữa sẽ chỉ đơn giản viết lại đệ trình biểu mẫu để đi đến một url http đơn giản. Nếu các biểu mẫu là quan trọng, trang gửi biểu mẫu cũng phải là https và người dùng biểu mẫu nên được cung cấp một url https ngắn để nhập và đánh dấu. Nếu toàn bộ trang web của bạn chuyển hướng đến các trang https, bạn sẽ được lập chỉ mục trong https và người dùng sẽ không phải dựa vào việc nhập nữa.

Đó là một câu hỏi về mô hình mối đe dọa nào bạn muốn chống lại, với chi phí chứng chỉ và một chút cpu.

Tobu
nguồn
1

Tôi thấy thú vị rằng cứ gần như mọi trang web tôi truy cập đều sử dụng HTTPS nơi yêu cầu bảo mật và HTTP ở nơi khác. Tôi hy vọng đó là vì các chi phí áp đặt bởi HTTPS, như những người khác đã đề cập.

John Gardeniers
nguồn
0

Xem câu trả lời của tôi trên một câu hỏi. Trong khi câu hỏi ban đầu liên quan đến JBoss và AJP, câu trả lời bao gồm một quy tắc mod_rewrite chuyển hướng lưu lượng truy cập không HTTPS sang HTTPS.

Vợ chồng Jeremy
nguồn
0

HTTPS sẽ làm chậm trang web của bạn, nhưng không phải vì những lý do mà người khác đã đề xuất. Nó sẽ không "hút CPU của bạn", thay vào đó, nó chỉ làm tăng độ trễ bằng cách thêm các bắt tay SSL vào các bắt tay TCP cho mỗi kết nối. Điều này có thể khiến hiệu suất giảm rất nhiều trong các tình huống yêu cầu nhiều kết nối để tải trang (ví dụ: rất nhiều hình ảnh, v.v.) đặc biệt là nếu bạn đã tắt HTTP.

Có toàn bộ trang web trên HTTPS chắc chắn giúp phát triển dễ dàng hơn - toàn bộ trang web trên HTTPS có nghĩa là nhà phát triển của bạn không cần lo lắng về việc bit nào cần phải là HTTP và HTTPS và trang nào cần chuyển từ trang này sang trang khác và tạo liên kết tuyệt đối cho những người vv

Trước đây tôi đã từng làm việc trên các trang web thương mại điện tử sử dụng hỗn hợp và nó khá là cố gắng chuyển từ an toàn / không bảo mật tại các trang thích hợp, đặc biệt nếu bố cục và điều hướng trang web của bạn phức tạp và được sử dụng lại từ trang này sang trang khác ( mà nó thường có trong hầu hết các trang web)

Xem paypal.com để biết ví dụ về người đã chọn đặt toàn bộ HTTPS trang web của họ. Nhưng tôi nhận thấy rằng các ngân hàng hiếm khi làm điều đó.

Đánh dấu
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.