HTTPS für die gesamte Site

10

Ich arbeite an einer ziemlich normalen Website mit öffentlichen Inhalten sowie persönlichen / benutzerdefinierten Inhalten für registrierte Benutzer. Ich weiß, dass ich HTTPS verwenden muss, wenn Benutzer sich anmelden oder Kreditkartendaten senden. Gibt es einen Grund, warum ich HTTPS nicht nur für die gesamte Site verwenden sollte?

BenV
quelle

Antworten:

12

Ja, es gibt einen Grund, warum Sie es nicht für die gesamte Site verwenden sollten. Einige Browser (abhängig von Marke und Version) speichern keine Inhalte von HTTPS-Anforderungen auf der Festplatte zwischen, was das Surferlebnis für Benutzer erheblich verlangsamen kann, da statische Elemente bei jeder Seitenanforderung (Stylesheets, Javascript, Header-Bilder usw.) geladen werden. . Zum Beispiel sagt Mozilla, dass:

"Durch das Zwischenspeichern von Datenträgern werden Kopien der heruntergeladenen Dateien auf der Festplatte gespeichert, sodass sie nicht heruntergeladen werden müssen, um erneut angezeigt zu werden. Diese Seiten können von jedem mit Erlaubnis zum Cache-Ordner angezeigt werden. Mit SSL-Verschlüsselung übertragene Seiten enthalten häufig vertrauliche Informationen und Das Zwischenspeichern dieser Seiten auf die Festplatte kann ein Datenschutzrisiko darstellen. Diese Voreinstellung steuert, ob auf Festplatten-Seiten zwischengespeichert werden soll, die mit SSL-Verschlüsselung übertragen wurden. "

Wie einzelne Browser HTTPS zwischenspeichern, ist etwas umstritten, aber es besteht immer noch eine gute Chance, dass bei vielen Benutzern das Zwischenspeichern von Festplatten für HTTPS-Anforderungen deaktiviert ist.

Zweitens erfordert HTTPS für jede Anforderung einen " Handshake ", der mit einem gewissen Overhead verbunden ist, der die Leistung beeinträchtigt und die Anforderungen erhöht (normalerweise nur um einige KB - dies gilt jedoch für jede Anforderung und dies summiert sich). HTTP KeepAlive kann dies einschränken, aber es ist immer noch ein Overhead, den Sie für nicht sichere Inhalte nicht benötigen.

Dan Diplo
quelle
2
Alles hier ist wahr. Wir betreiben jedoch seit ca. 5 Jahren eine vollständige SSL-Website und haben noch nie eine Beschwerde von unseren Benutzern erhalten. Die meisten von ihnen sind Unternehmen, also auf IE6 und IE7, einige auf Firefox. Das Caching schien gut zu funktionieren, aber für viele Bilder wurden explizite Regeln für das Ablaufen von Inhalten festgelegt. Ich weiß nicht, ob dies einen Unterschied machte.
Mark Henderson
5
Nicht raten: testen :-). Eine einfache (wenn auch grobe und nicht 100% vollständige) Möglichkeit, zu überprüfen, ob das Caching funktioniert, besteht darin, Ihre Serverprotokolle auf Benutzeranforderungen zu überprüfen. Fordern sie alle Bilder / Dateien oder nur den nicht zwischengespeicherten Inhalt an? Einzelne Benutzer beurteilen die Latenz schlecht, aber wenn sie aggregiert werden, können die Millisekunden sichtbar sein, sodass ich mit Sicherheit sicherstellen würde, dass die Geschwindigkeit wirklich akzeptabel ist.
John Mueller
10

Wenn Sie planen, volles SSL auszuführen, stellen Sie sicher, dass für alle gehosteten Dienste von Drittanbietern, die Sie verwenden (Ad-Server, Analysen, Freigabe-Tools usw.), SSL-Versionen verfügbar sind. Andernfalls werden in einigen Browsern Warnungen zu gemischten Inhalten angezeigt.

JasonBirch
quelle
5

Ein weiteres Problem besteht darin, dass alles , was Sie von einer beliebigen Seite aus bereitstellen, wirklich über SSL erfolgen muss, einschließlich Ressourcen von Drittanbietern. Wir haben festgestellt, dass dies beispielsweise bei YouTube ein echtes Problem ist. Da Google nicht YouTube - Videos verfügbar über SSL machen, bedeutet dies , dass jedes YouTube Video , das Sie tun auf Ihrer Website in einer Seite einbinden möchten bewirkt , dass die „Diese Seite enthält sichere und nicht sichere Inhalte“ Warnung. Während dies in den meisten Browsern subtil ist, ist es ein riesiger Dialog im IE und kann dazu führen, dass einige Benutzer Ihre Website ziemlich schnell verlassen und ihre Daten vor Angst an ihre Brust drücken.

Bobby Jack
quelle
2

Sie sollten auch über Wachstum nachdenken. Sobald Sie mehr als einen Webserver haben, müssen Sie sich entscheiden: Möchten Sie HTTPS auf jedem einzelnen Server bereitstellen, und wenn ja, verwenden Sie dasselbe Zertifikat oder ein Zertifikat pro Server, wie häufig empfohlen. Ich habe häufigere Setups gesehen, bei denen weniger HTTPS-Server vorhanden sind, da diese im Allgemeinen nur für die Verarbeitung vertraulicher Details und mehr HTTP-Server verwendet werden, da diese tendenziell den größten Teil des Datenverkehrs empfangen. HTTPS fügt jedem Ihrer Setups etwas mehr Komplexität hinzu. Nur etwas zu beachten.

gabe.
quelle
1

Aus meiner Sicht ist der einzige Grund, HTTPS nicht auf Ihrer gesamten Website zu verwenden, dass es Ihren Server etwas verlangsamt und Besucher ein etwas langsameres Surferlebnis haben. Davon abgesehen gibt es Vorteile. Speziell:

  1. Sie müssen sich nie darum kümmern, Daten, die Sie sicher aufbewahren möchten, auf einer Seite Ihrer Website abzulegen. Du kannst nicht vergessen.
  2. Benutzer werden feststellen, dass Ihre Website vollständig verschlüsselt ist, und fühlen sich möglicherweise sicherer, wenn sie Ihnen ihre Informationen zur Verfügung stellen.
  3. Benutzer wissen, dass Ihre Website zu Ihrem Unternehmen gehört und nicht übernommen wurde.

Abgesehen davon, dass es Ihren Entwicklern leichter gemacht wird, sich keine Sorgen darüber zu machen, dass sichere Daten auf einer unverschlüsselten Seite angezeigt werden, gibt es keinen technischen Grund, HTTPS auf jeder Seite zu verwenden. Aus dem gleichen Grund gibt es kaum einen Grund, dies nicht zu tun.

Ben Hoffman
quelle
Ein weiterer Grund, HTTPS nicht auf der gesamten Site zu verwenden ... es wird mehr Bandbreite verwendet, da Seiten (theoretisch) nicht clientseitig zwischengespeichert werden.
MrWhite
"Sie müssen sich nie darum kümmern, Daten, die Sie sicher aufbewahren möchten, auf einer Seite Ihrer Website abzulegen." - Ich bin mir nicht sicher, wie wahr das ist. Google indiziert diese Seiten standardmäßig _und cache_ (!). Und wenn angefordert, scheint die zwischengespeicherte Version als einfaches HTTP zu dienen.
MrWhite
0

Last but not least mögen es einige Arbeitgeber nicht, wenn ihre Mitarbeiter auf "verschlüsselten" https-Websites surfen. Dies ist der Fall bei Verteidigungs- / Sicherheitsunternehmen und -organisationen. Wenn Sie also eine "nur https" -Website haben, können Sie einige dieser Besucher / Kunden verlieren, da deren Netzwerk sie einfach nicht auf Ihrer Website durchsuchen lässt.

Radek
quelle
Haben Sie Beweise dafür? Können Sie auf Artikel verlinken, die diese Behauptung unterstützen?
Andrew Lott
Ich habe meine persönlichen Erfahrungen mit diesem Thema. Ich betreibe eine große militärorientierte Website und während wir das HTTPS-Setup getestet haben, haben wir herausgefunden, dass dies ein Problem für einen großen Teil unserer Benutzer sein wird, nur weil ihre Arbeitgeber das Surfen von https über ihr Netzwerk nicht zulassen (sogar über Banken, Wikipedia und andere Websites über https ist unmöglich). Ich habe einen weiteren Thread darüber gestartet, wie wir dieses Problem angehen können, wenn wir von Google gezwungen werden, zu https zu wechseln. Dies ist kein Problem, das jeder kennt, aber es kann passieren und die Leute müssen es möglicherweise in Betracht ziehen.
Radek
Ich erkläre mir selbst, dass einige Überwachungstools den "Inhalt" der Pakete auf dem Proxy oder einen "Mann in der Mitte" zwischen diesen Benutzern und Websites überwachen müssen, um Sicherheitsprobleme, Geheimhaltung oder was auch immer überwachen und SSL-Disalows verwenden zu können eine solche Überwachung. Daher ist https in diesen Unternehmen nicht erlaubt (ich sage nicht in allen, aber offensichtlich zumindest in einigen von ihnen, ja)
Radek