Я працюю на досить стандартному веб-сайті з загальнодоступним вмістом, а також особистим / індивідуальним контентом для зареєстрованих користувачів. Я знаю, що мені потрібно використовувати HTTPS, коли користувачі входять або надсилають дані кредитної картки. Чи є причина, що я не повинен просто використовувати HTTPS для всього сайту?
Відповіді:
Так, є причина, що ви не повинні використовувати його для всього сайту. Деякі браузери (залежно від марки та версії) не кешуватимуть вміст від HTTPS-запитів на диск, що може серйозно сповільнити перегляд веб-сторінок для користувачів, оскільки статичні активи завантажуватимуться з кожним запитом на сторінку (таблиці стилів, javascript, зображення заголовків тощо) . Наприклад, Mozilla заявляє, що:
"Кешування диска зберігає копії завантажених файлів на жорсткому диску, тому їх не потрібно завантажувати для повторного відображення. Ці сторінки може переглядати кожен, хто має дозвіл у папку кешу. Сторінки, передані за допомогою шифрування SSL, часто містять конфіденційну інформацію та кешування цих сторінок на диску може становити загрозу конфіденційності. Ця налаштування регулює, чи слід кешувати сторінки диска, передані SSL-шифруванням. "
Те, як окремі веб-переглядачі кешують HTTPS, є дещо спірним, але все ще залишається хороший шанс, що для багатьох користувачів буде відключено кешування диска для HTTPS-запитів.
По-друге, HTTPS вимагає " рукостискання " для кожного запиту, і це має певні накладні витрати, що сприятиме підвищенню продуктивності та збільшенню запитів (як правило, лише на кілька КБ, але це стосується кожного запиту, і це додає). HTTP KeepAlive може обмежити це, але все-таки накладні витрати вам не потрібні для незахищеного вмісту.
Якщо ви плануєте запускати повний SSL, переконайтеся, що будь-які розміщені вами сервіси третьої сторони, які ви використовуєте (рекламний сервер, аналітика, інструменти спільного використання тощо), мають версії SSL, або ви отримаєте змішані попередження щодо вмісту в деяких браузерах.
Ще одна проблема полягає в тому, що все, що ви обслуговуєте з будь-якої сторінки, тоді дійсно потрібно проходити через SSL, включаючи сторонні ресурси. Ми виявили, що це справжня проблема, наприклад, з YouTube, наприклад. Оскільки Google не робить відео YouTube доступно через SSL, це означає , що будь-яке відео YouTube ви зробити плануєте включити в сторінці на вашому сайті , викличе «Ця сторінка містить безпечне і небезпечний контент» попередження. Хоча це тонко в більшості браузерів, це величезний діалог в IE і може змусити деяких користувачів досить швидко відмовлятися від вашого сайту, боячись притискаючи свої дані до грудей.
Ви також повинні подумати про зростання. Після того, як у вас буде більше одного веб-сервера, вам доведеться вирішити: чи хочете ви надати HTTPS на кожному окремому сервері, і якщо так, чи будете ви використовувати той же сертифікат або сертифікат на кожен сервер, як часто рекомендується. Я бачив більш поширені установки, де є менше серверів HTTPS, оскільки вони, як правило, використовуються лише для обробки чутливих деталей і більше HTTP-серверів, оскільки вони, як правило, отримують основну частину трафіку. HTTPS додає трохи більше складності до кожної з ваших налаштувань. Просто щось пам’ятати.
Як я бачу, єдиною причиною не використовувати HTTPS на всьому веб-сайті є те, що це сповільнить ваш сервер, а відвідувачі мають трохи повільніше перегляд веб-сайту. Як сказано, переваги є. Конкретно:
Крім того, що розробникам полегшується не турбуватися про показ захищених даних на незашифрованій сторінці, насправді немає технічних причин використовувати HTTPS на кожній сторінці. З тих же міркувань, дуже мало причин цього не робити.
нарешті, але не менш важливо, кілька роботодавців не люблять, щоб їхні працівники переглядали веб-сайти на "зашифрованих". Це стосується оборонних / охоронних компаній та організацій, тому якщо у вас є веб-сайт "тільки https", ви можете втратити деяких із цих відвідувачів / клієнтів, оскільки їх мережа просто не дозволить їм переглядати ваш сайт.