僅在部分站點上使用HTTP的缺點

Question

我管理的是一家在註冊/登錄/帳戶/檢出頁面上強制HTTP的商店，但就是這樣，我一直試圖說服人們強制HTTPs的一切。

我知道建議在任何地方都使用HTTP，但不知道爲什麼。

有沒有什麼好的理由讓HTTP的部分網站？

Answer 1

一個很好的原因是頁面性能對銷售產生巨大影響（有很多已發表的研究），SSL在性能方面有很大的影響 - 特別是如果調整不正確。

但是運行混合SSL和非SSL是充滿陷阱粗心的...

究竟哪些頁面，你把裏面的SSL對安全性有很大的影響太大，但 - 假設你使用發送登錄表單HTTP與HTTPS的POST目標 - 一個簡單的分析表明這是安全的 - 但事實上，一個MITM可以修改登錄頁面在其他地方發送帖子，或注入一些Ajax將請求分發到不同的位置。

此外，通過混合的HTTP和HTTPS，您可以安全地傳輸會話 - 用戶在SSL站點外填充會話鏈接的購物籃，然後在SSL站點內付錢 - 您如何防止會話固定轉型中的問題？

因此，我只建議運行一個混合網站，如果你有HTTP真正的專業技能 - 並且因爲你問這裏這個問題，而是暗示你不這樣做。

妥協方案是使用SPDY。 SPDY需要SSL，但是大多數網站（尤其是未經過大量性能優化的網站）速度更快。目前它不被MSIE支持 - 並且（上次我選中）在Firefox中默認不啓用。但它很可能會在很短的時間內佔據HTTP/2.0的很大一部分。

通過HTTPS使用（良好）CDN還可以減輕SSL帶來的大部分性能影響。

Answer 2

真的沒有必要在整個網站上使用HTTPS。使用HTTPS將導致服務器消耗更多資源，因爲它必須做額外的工作來加密和解密連接，更不用說在協商算法等方面額外的步驟/握手等。

如果您的網站流量很大，命中可能相當大。

這也意味着在HTTP上使用plain會導致響應時間變慢。

您應該只在實際需要安全的網站部分上真正使用HTTPS，例如用戶向您的網站發送重要信息，填寫表格，登錄網站私密部分等。

另一個問題是，如果您使用無安全URL的資源，可能是其他地方託管的圖像/腳本。如果它們不能通過HTTPS訪問，那麼您的訪問者將收到關於不安全連接的警告。

您還需要認識到HTTPS數據/頁面幾乎不會被緩存的事實。這也會增加性能損失。