Empfehlung: Unternehmenswebsite zu https gezwungen?

8

Mein Unternehmen möchte, dass die "Informations" -Website von HTTP zu HTTPS umgeschrieben wird. Technisch ist das für mich keine große Sache. Aber ich habe Zweifel, ob dies auf dem neuesten Stand der Technik ist, da der einzige Grund, warum sie dies wollen, darin besteht, den Kontakt zu verschlüsseln und Formulare anzumelden. (Ich könnte HTTPS für Websites mit Formularen aktivieren, aber dieser Ansatz gefällt ihnen nicht.)

Was sind die Nachteile und Nachteile einer Website nur für HTTPS? Was ist Ihre Erfahrung und Empfehlung?

Webanwendungen werden unter einer anderen URL ausgeführt und verschlüsselt.

Grüße

website https rewrite zero_r
quelle
Vielleicht fehlt mir etwas, aber wie schreibt man etwas um, um https zu sein? Würden Sie nicht einfach aktivieren, dass die Seiten dieser Site SSL über den Webserver erfordern?
Bart Silverstrim
3
Natürlich würde ich mod_rewrite verwenden, um http: // Anfragen an https: // weiterzuleiten.
zero_r

Antworten:

4

Wir betreiben einige unserer Websites nur auf HTTPS, auf Anfrage von Unternehmensadministratoren, die die Meldung "Wir nehmen Ihre Privatsphäre wirklich sehr ernst" veröffentlichen möchten. Abgesehen von der Notwendigkeit einer dedizierten IP-Adresse für jede Website haben wir dies getan Ich habe nie einen Abfluss auf unseren Servern bemerkt.

Dies sind alles Websites mit wenig Verkehr, vielleicht 1000-5000 Zugriffe pro Tag, hauptsächlich von wiederkehrenden Besuchern.

Mit HTTPS können Sie auch verlieren:

  • Clientseitiges Caching (Das Zwischenspeichern von HTTPS wird normalerweise als Nein-Nein betrachtet. Wenn Sie jedoch explizit einen expiresHeader angeben, wird dieser von einigen Browsern weiterhin zwischengespeichert.)
  • Schnelle Ladezeiten für Benutzer mit Einwahl / hoher Latenz (der HTTPS-Handshake ist für Breitband vernachlässigbar, für Einwählverbindungen oder Personen in Thailand jedoch deutlich spürbar).

Wenn diese Dinge Sie nicht beunruhigen (sie haben es unseren Benutzern oder Unternehmen nicht getan), dann sage ich, machen Sie mit - es macht keinen Sinn zu streiten!

Mark Henderson
quelle
Mir ist klar, dass dies eine alte Antwort ist, aber das HTTPS-Nicht-Caching-Ding war immer größtenteils ein Mythos. Browser befolgen Ihre Caching-Anweisungen weiterhin wie ohne HTTPS, dh sie behandeln etwas mit "Expires" oder "Cache-control: max-age = xx" auf dieselbe Weise und führen dieselben bedingten Anforderungen und Aufgaben aus. Alles, was Sie verlieren, ist das Zwischenspeichern durch öffentliche Proxies, was kein Verlust und eine Art Punkt von HTTPS ist. Der Punkt bezüglich der Latenz ist absolut richtig, was durch neue Technologien wie TLS False Start ein wenig gemildert wird, aber nicht vollständig.
Thomasrutter
5

Wenn die Website ohnehin von jedem zugänglich ist, hat HTTPS keinen wirklichen Sinn, außer sie für die Formulare zu aktivieren, da jeder die Seite trotzdem lesen kann. Andererseits ist die Auswirkung von HTTPS auf den Server sehr gering, insbesondere wenn Sie ohnehin eine dynamische Seite ausführen, wodurch die Auswirkungen von HTTPS wirklich unbemerkt bleiben. Meine Empfehlung wäre, es nur auf dem Webserver einzuschalten, da es nichts zu schreiben gibt, wenn Sie jemals in eine Situation geraten, in der Ihr Server diese kleine Leistung benötigt, die durch HTTPS beeinträchtigt wird, können Sie es ausschalten. Aber Sie werden Ihre Leistungsprobleme wahrscheinlich nicht lösen, wenn es welche gibt.

Also, kurz gesagt, haltet euch von dem Ärger ab, über so etwas zu streiten, und schaltet es einfach ein;)

Sideshowcoder
quelle
2

HTTPS ist etwas langsamer und etwas prozessorintensiver.

HTTP kann von jedem Schmuck mit einem Paket-Sniffer gelesen werden.

Satanicpuppy
quelle
1
Etwas langsamer beschreibt nicht den Schmerz, den dies Benutzern bei Verbindungen mit hoher Latenz und / oder geringer Bandbreite zufügen würde!
Brian Knoblauch
2
Meh. Wenn es sicher sein muss, muss es sicher sein.
Satanicpuppy
2

Vorteile der Verwendung von SSL:

  • Sensible Informationen werden nicht im Klartext gesendet

Nachteile bei der Verwendung von SSL:

  • Zertifikate und Verfahren zur Erneuerung kosten Zeit und Geld.
  • Wenn Sie das Zertifikat durcheinander bringen, werden Sie auf sehr öffentliche Weise albern aussehen.
  • Die CPU-Auslastung steigt, wodurch Ihre Website langsamer geladen wird. Messen Sie den Unterschied.
  • Browser zwischenspeichern keine Objekte, die über https abgerufen wurden, sodass Ihre Bandbreitennutzung zunimmt und Besucher Ihre Site als langsamer empfinden, da jedes Objekt über das Netzwerk abgerufen wird. Schätzen Sie die erhöhte Bandbreitennutzung basierend auf der aktuellen Verkehrsnutzung.

Verwenden Sie hierfür nicht mod_rewrite. Verwenden Sie http 301- oder 302-Weiterleitungen.

Alex Holst
quelle
Ihre Punkte sind gültig. Nur eine kleine Anmerkung: mod_rewrite unterstützt 301- und 302-Weiterleitungen einwandfrei und wäre in der Tat das Tool, mit dem ich https erzwingen würde.
Martijn Heemels
HTTP wird zwischengespeichert. Die einzige Einschränkung besteht darin, dass einige davon nicht auf der Festplatte landen . Details hier: stackoverflow.com/questions/174348/…
Tobu
1

Sie müssen daran denken, SSL-Zertifikate von einem weltweit anerkannten Stammzertifikatanbieter zu kaufen und zu erneuern. Wenn Sie die Verlängerung vergessen, wird auf Ihrer gesamten Website eine Fehlermeldung angezeigt.

Tom Willwerth
quelle
Nun, Sie können immer noch auf die Website gehen und einfach eine "Oh mein Gott, das könnte böse sein" -Nachricht erhalten, auf die die meisten Benutzer sowieso nur klicken. Aber ich denke, wenn sie andere SSL-Sites haben, haben sie bereits die benötigten Zertifikate.
Sideshowcoder
1

Das Verschlüsseln nur der Formularübermittlung schützt vor gelegentlichem Schnüffeln, aber ein Mann in der Mitte würde die Formularübermittlung einfach umschreiben, um zu einer einfachen http-URL zu gelangen. Wenn die Formulare wichtig sind, sollte die Formularübermittlungsseite ebenfalls https sein und den Formularbenutzern sollte eine kurze https-URL zum Eingeben und Lesezeichen gegeben werden. Wenn Ihre gesamte Site auf https-Seiten umleitet, werden Sie in https indiziert und Benutzer müssen sich nicht mehr auf die Eingabe verlassen.

Es ist eine Frage des Bedrohungsmodells, gegen das Sie sich verteidigen möchten, auf Kosten von Zertifikaten und ein bisschen CPU.

Tobu
quelle
1

Ich finde es interessant, dass fast jede Site, die ich besuche, HTTPS verwendet, wo Sicherheit erforderlich ist, und HTTP an anderer Stelle. Ich gehe davon aus, dass dies auf die von HTTPS verursachten Overheads zurückzuführen ist, wie andere bereits erwähnt haben.

John Gardeniers
quelle
0

Siehe meine Antwort auf eine Frage. Während sich diese ursprüngliche Frage auf JBoss und AJP bezog, enthielt die Antwort einen Regelsatz mod_rewrite, der Nicht-HTTPS-Verkehr an HTTPS umleitet.

Jeremy Bouse
quelle
0

HTTPS verlangsamt Ihre Website, jedoch nicht aus den von anderen vorgeschlagenen Gründen. Es "saugt nicht Ihre CPU", sondern erhöht nur die Latenz, indem SSL-Handshakes zu den TCP-Handshakes für jede Verbindung hinzugefügt werden. Dies kann dazu führen, dass die Leistung in Situationen, in denen zum Laden der Seite viele Verbindungen erforderlich sind (z. B. viele Bilder usw.), stark abnimmt, insbesondere wenn HTTP-Keepalives deaktiviert sind.

Die gesamte Site auf HTTPS zu haben, erleichtert sicherlich die Entwicklung - die gesamte Site auf HTTPS bedeutet, dass sich Ihre Entwickler keine Gedanken darüber machen müssen, welche Bits HTTP und HTTPS sein müssen und welche Seiten von einer zur anderen wechseln müssen, und absolute Links erstellen müssen zu denen etc.

Zuvor habe ich an E-Commerce-Websites gearbeitet, bei denen eine Mischung verwendet wurde, und es wird ziemlich haarig, auf den entsprechenden Seiten von sicher / nicht sicher zu wechseln, insbesondere wenn das Layout und die Navigation Ihrer Website kompliziert sind und von einer Seite zur anderen wiederverwendet werden ( was es normalerweise in den meisten Websites ist)

Unter paypal.com finden Sie ein Beispiel für jemanden, der sich dafür entschieden hat, nur seine gesamte Website HTTPS zu stellen. Aber ich merke, dass Banken das selten tun.

MarkR
quelle