it-swarm-es.com

HTTPS para todo el sitio

Estoy trabajando en un sitio web bastante estándar con contenido público más contenido personal/personalizado para usuarios registrados. Sé que necesito usar HTTPS cuando los usuarios inician sesión o envían datos de la tarjeta de crédito. ¿Hay alguna razón por la que no debería usar HTTPS para todo el sitio?

10
BenV

Sí, hay una razón por la que no deberías usarlo en todo el sitio. Algunos navegadores (según la marca y la versión) no almacenarán en caché el contenido de las solicitudes HTTPS en el disco, lo que puede ralentizar seriamente la experiencia de navegación para los usuarios, ya que los activos estáticos se cargarán con cada solicitud de página (hojas de estilo, JavaScript, imágenes de encabezado, etc.) . Por ejemplo, estados de Mozilla que:

"El almacenamiento en caché de disco guarda copias de los archivos descargados en el disco duro, por lo que no es necesario descargarlos para volver a visualizarlos. Cualquiera que tenga permiso para acceder a la carpeta de caché puede ver estas páginas. Las páginas transmitidas con cifrado SSL a menudo contienen información confidencial y el almacenamiento en caché de estas páginas en el disco puede presentar un riesgo de privacidad. Esta preferencia controla si almacenar en caché las páginas del disco que se transmitieron con encriptación SSL ".

Cómo los navegadores individuales almacenan en caché HTTPS es algo discutido pero aún existe una buena posibilidad de que muchos usuarios tengan deshabilitado el almacenamiento en caché de disco para solicitudes HTTPS.

En segundo lugar, HTTPS requiere un " apretón de manos " para cada solicitud y esto viene con algunos gastos generales, lo que afectará el rendimiento y hará que las solicitudes sean más grandes (generalmente solo por unos pocos KB, pero es para cada solicitud y esto se suma ) HTTP KeepAlive puede limitar esto, pero sigue siendo una sobrecarga que no necesita para contenido no seguro.

12
Dan Diplo

Si planea ejecutar SSL completo, asegúrese de que los servicios de terceros alojados que esté utilizando (servidor de anuncios, análisis, herramientas para compartir, etc.) tengan versiones SSL disponibles, o recibirá advertencias de contenido mixto en algunos navegadores.

10
JasonBirch

Otro problema es que todo que sirve cualquier página, entonces realmente necesita ir a través de SSL, incluidos los recursos de terceros. Descubrimos que este es un problema real con algo como YouTube, por ejemplo. Dado que Google no hace que los videos de YouTube estén disponibles a través de SSL, significa que cualquier video de YouTube que usted hacer desee insertar en una página de su sitio causará que "esta página contenga contenido seguro y no seguro" advertencia. Si bien esto es sutil en la mayoría de los navegadores, es un gran diálogo en IE y puede hacer que algunos usuarios abandonen su sitio con bastante rapidez, aferrando sus datos al pecho con miedo.

5
Bobby Jack

También debes pensar en el crecimiento. Una vez que tenga más de un solo servidor web, tendrá que decidir: ¿Desea proporcionar HTTPS en cada servidor individual y, de ser así, utilizará el mismo certificado o un certificado por servidor como se recomienda a menudo? He visto configuraciones más comunes donde hay menos servidores HTTPS, ya que generalmente solo se usan para procesar detalles sensibles y más servidores HTTP, ya que tienden a recibir la mayor parte del tráfico. HTTPS agrega un poco más de complejidad a cada una de sus configuraciones. Sólo algo para tener en cuenta.

2
gabe.

Según lo veo, la única razón para no usar HTTPS en todo su sitio es que ralentizará su servidor y los visitantes tendrán una experiencia de navegación un poco más lenta. Dicho esto, hay beneficios. Específicamente:

  1. Nunca tendrá que preocuparse por poner los datos que desea mantener seguros en cualquier página de su sitio. No puedes olvidarlo.
  2. Los usuarios notarán que su sitio está encriptado por completo y pueden sentirse más seguros al brindarle su información.
  3. Los usuarios saben que su sitio web pertenece a su empresa y no ha sido tomado.

Más allá de hacer que sea más fácil para sus desarrolladores no preocuparse por mostrar datos seguros en una página no cifrada, realmente no hay razón técnica para usar HTTPS en cada página. Por el mismo razonamiento, hay muy pocas razones para no hacerlo.

1
Ben Hoffman

por último, pero no menos importante, a varios empleadores no les gusta que sus empleados naveguen en sitios https "encriptados". Este es el caso de las empresas y organizaciones de defensa/seguridad, por lo que si tiene un sitio web "solo https", puede perder algunos de estos visitantes/clientes, porque su red simplemente no les permitirá navegar por su sitio.

0
Radek