Recomendação: site da empresa forçado a https?

Minha empresa deseja que seu site "informativo" seja reescrito de HTTP para HTTPS. Tecnicamente, isso não é grande coisa para mim. Mas tenho dúvidas se esse é o estado da arte, já que a única razão pela qual eles desejam isso é criptografar contatos e inscrever formulários. (Eu poderia ativar o HTTPS para site com formulários, no entanto, eles não gostam dessa abordagem.)

Quais são as desvantagens e desacelerações de ter um site exclusivo da empresa HTTPS? Qual é a sua experiência e recomendação?

Os aplicativos da Web estão sendo executados em outro URL e são criptografados.

Saudações

Executamos alguns de nossos sites apenas em HTTPS, a pedido dos administradores da empresa que desejavam enviar uma mensagem "Levamos a sua privacidade muito a sério" e, além da necessidade de um endereço IP dedicado para cada site, temos nunca notamos nenhum dreno em nossos servidores.

Esses são sites de baixo tráfego, talvez de 1000 a 5.000 acessos por dia, principalmente de visitantes que retornam.

Com o HTTPS, você também pode perder:

• Armazenamento em cache do lado do cliente (o cache HTTPS é geralmente considerado um não-não, mas se você especificar explicitamente um expirescabeçalho, alguns navegadores ainda o armazenarão em cache)
• Tempos de carregamento rápidos para usuários de discagem / alta latência (o handshake HTTPS é insignificante para banda larga, mas bastante perceptível para discagem ou pessoas na Tailândia)

Se essas coisas não o preocupam (elas não incomodavam nossos usuários ou empresas), digo: vá em frente - não faz sentido discutir!

De qualquer maneira, se o site estiver acessível a qualquer pessoa, não há nenhum ponto real no HTTPS além de habilitá-lo para os formulários, já que qualquer um pode ler a página. Por outro lado, o impacto do HTTPS no servidor é muito baixo, especialmente se você estiver executando uma página dinâmica de qualquer maneira, o que fará com que o impacto do HTTPS seja realmente imperceptível. Minha recomendação seria ativá-lo no servidor da Web, porque não há nada para reescrever, se você chegar a uma situação em que seu servidor precisará desse pouco desempenho que é retirado pelo HTTPS, você pode desativá-lo, mas você provavelmente não resolverá seus problemas de desempenho, se houver.

Então, resumindo, mantenha-se longe do aborrecimento lutando por algo assim e apenas ligue;)

HTTPS é um pouco mais lento e um pouco mais intensivo do processador.

O HTTP pode ser lido por qualquer idiota com um sniffer de pacotes.

Vantagens de usar SSL:

• Informações confidenciais não são enviadas de forma clara

Desvantagens do uso de SSL:

• Certificados e processos de renovação custam tempo e dinheiro.
• Se você estragar o certificado, parecerá bobo de uma maneira muito pública.
• O uso da CPU aumenta, tornando o site mais lento. Meça a diferença.
• Os navegadores não armazenam em cache objetos buscados por https, portanto, o uso da largura de banda aumentará e os visitantes experimentarão o site como mais lento, porque cada objeto é buscado pela rede. Estime o uso aumentado da largura de banda com base no uso atual do tráfego.

Não use mod_rewrite para isso. Use redirecionamentos http 301 ou 302.

Você precisará se lembrar de comprar e renovar certificados SSL de um provedor de certificados raiz reconhecido globalmente. Se você se esquecer de renovar, o site inteiro será exibido com uma mensagem de erro.

Criptografar apenas o envio de formulários protege contra espionagem casual, mas um homem no meio simplesmente reescreveria o envio de formulários para acessar um URL simples de http. Se os formulários forem importantes, a página de envio do formulário também deve ser https e os usuários do formulário devem receber um breve URL https para digitar e marcar. Se todo o site for redirecionado para páginas https, você será indexado em https e os usuários não precisarão mais digitar.

É uma questão de qual modelo de ameaça você deseja se defender, ao custo de certificados e um pouco de CPU.

Acho interessante que praticamente todos os sites que visito usem HTTPS, onde a segurança é necessária e HTTP em outros lugares. Espero que seja por causa das despesas gerais impostas pelo HTTPS, como outros já mencionaram.

Veja minha resposta em uma pergunta. Enquanto a pergunta original era sobre o JBoss e o AJP, a resposta incluía um conjunto de regras mod_rewrite que redireciona o tráfego não HTTPS para HTTPS.

O HTTPS reduzirá a velocidade do seu site, mas não pelos motivos sugeridos por outras pessoas. Ele não "suga sua CPU", mas apenas aumenta a latência adicionando handshakes SSL aos TCP para cada conexão. Isso pode fazer com que o desempenho diminua bastante em situações nas quais muitas conexões são necessárias para carregar a página (por exemplo, muitas imagens, etc.), especialmente se você tiver desativado o keepalives HTTP.

Ter o site inteiro em HTTPS certamente facilita o desenvolvimento - o site inteiro em HTTPS significa que seus desenvolvedores não precisam se preocupar com quais bits precisam ser HTTP e HTTPS, e quais páginas precisam mudar de um para outro e compondo links absolutos para aqueles etc.

Anteriormente, trabalhei em sites de comércio eletrônico que usavam uma mistura e fica muito difícil tentar mudar de seguro / não seguro nas páginas apropriadas, principalmente se o layout e a navegação do site forem complicados e reutilizados de uma página para outra ( normalmente na maioria dos sites)

Veja paypal.com para um exemplo de alguém que optou por colocar todo o site HTTPS. Mas percebo que os bancos raramente fazem isso.