我管理的是一家在註冊/登錄/帳戶/檢出頁面上強制HTTP的商店,但就是這樣,我一直試圖說服人們強制HTTPs的一切。僅在部分站點上使用HTTP的缺點
我知道建議在任何地方都使用HTTP,但不知道爲什麼。
有沒有什麼好的理由讓HTTP的部分網站?
我管理的是一家在註冊/登錄/帳戶/檢出頁面上強制HTTP的商店,但就是這樣,我一直試圖說服人們強制HTTPs的一切。僅在部分站點上使用HTTP的缺點
我知道建議在任何地方都使用HTTP,但不知道爲什麼。
有沒有什麼好的理由讓HTTP的部分網站?
一個很好的原因是頁面性能對銷售產生巨大影響(有很多已發表的研究),SSL在性能方面有很大的影響 - 特別是如果調整不正確。
但是運行混合SSL和非SSL是充滿陷阱粗心的...
究竟哪些頁面,你把裏面的SSL對安全性有很大的影響太大,但 - 假設你使用發送登錄表單HTTP與HTTPS的POST目標 - 一個簡單的分析表明這是安全的 - 但事實上,一個MITM可以修改登錄頁面在其他地方發送帖子,或注入一些Ajax將請求分發到不同的位置。
此外,通過混合的HTTP和HTTPS,您可以安全地傳輸會話 - 用戶在SSL站點外填充會話鏈接的購物籃,然後在SSL站點內付錢 - 您如何防止會話固定轉型中的問題?
因此,我只建議運行一個混合網站,如果你有HTTP真正的專業技能 - 並且因爲你問這裏這個問題,而是暗示你不這樣做。
妥協方案是使用SPDY。 SPDY需要SSL,但是大多數網站(尤其是未經過大量性能優化的網站)速度更快。目前它不被MSIE支持 - 並且(上次我選中)在Firefox中默認不啓用。但它很可能會在很短的時間內佔據HTTP/2.0的很大一部分。
通過HTTPS使用(良好)CDN還可以減輕SSL帶來的大部分性能影響。
真的沒有必要在整個網站上使用HTTPS。使用HTTPS將導致服務器消耗更多資源,因爲它必須做額外的工作來加密和解密連接,更不用說在協商算法等方面額外的步驟/握手等。
如果您的網站流量很大,命中可能相當大。
這也意味着在HTTP上使用plain會導致響應時間變慢。
您應該只在實際需要安全的網站部分上真正使用HTTPS,例如用戶向您的網站發送重要信息,填寫表格,登錄網站私密部分等。
另一個問題是,如果您使用無安全URL的資源,可能是其他地方託管的圖像/腳本。如果它們不能通過HTTPS訪問,那麼您的訪問者將收到關於不安全連接的警告。
您還需要認識到HTTPS數據/頁面幾乎不會被緩存的事實。這也會增加性能損失。
服務器上的性能開銷非常小(除非您使用某些特定的臨時Diffie-Hellman密碼)。至於不支持SSL的瀏覽器 - 我在2013年:你是什麼時候? – symcbean
如果您的網站流量較高,則性能影響可能相當大,因此會消耗更多內存和CPU週期。你會注意到高流量網站上的差異,我已經運行了足夠的知識。 – Andrew
那我一定在做錯了。我發現使用SSL的CPU使用率不到5%。 – symcbean