HTTPS para o site inteiro

10

Estou trabalhando em um site bastante padrão com conteúdo público e conteúdo pessoal / personalizado para usuários registrados. Sei que preciso usar HTTPS quando os usuários estiverem fazendo login ou enviando detalhes do cartão de crédito. Existe uma razão para eu não usar apenas HTTPS em todo o site?

BenV
fonte

Respostas:

12

Sim, há um motivo para você não usá-lo em todo o site. Alguns navegadores (dependendo da marca e versão) não armazenam em cache o conteúdo das solicitações HTTPS no disco, o que pode atrasar seriamente a experiência de navegação dos usuários, pois os recursos estáticos serão carregados com todas as solicitações de página (folhas de estilo, javascript, imagens de cabeçalho etc.) . Por exemplo, a Mozilla afirma que:

"O cache do disco salva cópias dos arquivos baixados no disco rígido para que eles não precisem ser baixados para serem exibidos novamente. Essas páginas podem ser visualizadas por qualquer pessoa com permissão para a pasta do cache. As páginas transmitidas com a criptografia SSL geralmente contêm informações confidenciais e o armazenamento em cache dessas páginas no disco pode representar um risco à privacidade. Essa preferência controla se o cache deve ser feito em páginas do disco que foram transmitidas com criptografia SSL. "

Como navegadores individuais armazenam em cache o HTTPS é um pouco contestado, mas ainda existe uma boa chance de que muitos usuários tenham o cache de disco desativado para solicitações de HTTPS.

Em segundo lugar, o HTTPS requer um " handshake " para cada solicitação, e isso vem com alguma sobrecarga, o que afetará o desempenho e aumentará as solicitações (normalmente apenas com alguns KB - mas é para todas as solicitações e isso aumenta). O HTTP KeepAlive pode limitar isso, mas ainda é uma sobrecarga que você não precisa para conteúdo não seguro.

Dan Diplo
fonte
2
Tudo aqui é verdade. No entanto, temos um site SSL completo há aproximadamente 5 anos e nunca recebemos uma reclamação de nossos usuários. A maioria deles é corporativa, assim no IE6 e IE7, com alguns no Firefox atualmente. O cache parecia funcionar bem, mas tínhamos regras explícitas de expiração de conteúdo definidas em muitas imagens, não sei se isso fez alguma diferença.
Mark Henderson
5
Não adivinhe: teste :-). Uma maneira simples (embora aproximada e não 100% concluída) de verificar se o cache está funcionando é verificar os logs do servidor em busca de solicitações do usuário. Eles estão solicitando todas as imagens / arquivos ou apenas o conteúdo não armazenado em cache? Usuários individuais julgam mal a latência, mas quando agregados, os milissegundos podem ser visíveis, então eu certamente me certificaria de que a velocidade seja realmente aceitável.
John Mueller
10

Se você planeja executar o SSL completo, verifique se todos os serviços de terceiros hospedados que você está usando (servidor de anúncios, análises, ferramentas de compartilhamento etc.) têm versões SSL disponíveis ou você recebe avisos de conteúdo variados em alguns navegadores.

JasonBirch
fonte
5

Outro problema é que tudo o que você serve a partir de qualquer página realmente precisa passar por SSL, incluindo recursos de terceiros. Descobrimos que esse é um problema real com algo como o YouTube, por exemplo. Desde que o Google não faz vídeos do YouTube disponível via SSL, isso significa que qualquer vídeo do YouTube que você fazer deseja incorporar em uma página em seu site fará com que a "Esta página contém segura e não segura de conteúdo" aviso. Embora isso seja sutil na maioria dos navegadores, é uma grande caixa de diálogo no IE e pode fazer com que alguns usuários abandonem seu site rapidamente, segurando os dados no peito com medo.

Bobby Jack
fonte
2

Você também deve pensar em crescimento. Depois de ter mais de um único servidor da web, você terá que decidir: Deseja fornecer HTTPS em cada servidor individual e, nesse caso, estará usando o mesmo certificado ou certificado por servidor, como é frequentemente recomendado. Vi configurações mais comuns em que há menos servidores HTTPS, pois geralmente são usados ​​apenas para o processamento de detalhes confidenciais e mais servidores HTTP, pois esses tendem a receber a maior parte do tráfego. O HTTPS adiciona um pouco mais de complexidade a cada uma das suas configurações. Apenas algo para ter em mente.

Gabe.
fonte
1

A meu ver, o único motivo para não usar HTTPS em todo o site é que isso atrasará seu servidor e os visitantes terão uma experiência de navegação um pouco mais lenta. Dito isto, há benefícios. Especificamente:

  1. Você nunca precisará se preocupar em colocar os dados que deseja manter seguros em qualquer página do seu site. Você não pode esquecer.
  2. Os usuários perceberão que seu site está totalmente criptografado e podem se sentir mais seguros ao fornecer suas informações.
  3. Os usuários sabem que seu site pertence à sua empresa e não foi retomado.

Além de tornar mais fácil para seus desenvolvedores não se preocuparem em mostrar dados seguros em uma página não criptografada, não há realmente nenhum motivo técnico para usar HTTPS em todas as páginas. Pelo mesmo raciocínio, há muito pouco motivo para não fazê-lo.

Ben Hoffman
fonte
Outro motivo para não usar HTTPS em todo o site ... será usada mais largura de banda, pois as páginas não serão armazenadas em cache no lado do cliente (teoricamente).
MrWhite
"Você nunca terá que se preocupar em colocar os dados que deseja manter seguros em qualquer página do seu site." - Não tenho certeza de como isso é verdade. O Google indexará _e cache_ (!) Essas páginas por padrão. E, se solicitado, parece servir a versão em cache como HTTP simples.
MrWhite
0

Por último, mas não menos importante, vários empregadores não gostam que seus funcionários navegem em sites https "criptografados". Esse é o caso das empresas e organizações de defesa / segurança; portanto, se você tiver um site "apenas https", poderá perder alguns desses visitantes / clientes, porque a rede deles simplesmente não permitirá que eles naveguem em seu site.

Radek
fonte
Você tem alguma evidência disso? Você pode criar um link para artigos que apóiam essa reivindicação?
Andrew Lott
Eu tenho minha experiência pessoal com este tópico. Eu administro um site militar focado em grandes sites e, enquanto testamos a configuração HTTPS, descobrimos que isso será um problema para grande parte de nossos usuários, apenas porque seus empregadores não permitem a navegação https da rede (até mesmo acessam bancos, wikipedia e outros sites via https é impossível). Lancei outro tópico sobre como abordar esse problema, quando somos forçados pelo google a mudar para https - esse não é um problema que todos conhecem, mas pode acontecer e as pessoas precisam considerá-lo.
Radek
Explico a mim mesmo que algumas ferramentas de monitoramento precisam assistir ao "conteúdo" dos pacotes no proxy ou a qualquer "intermediário" entre esses usuários e sites, para poder monitorar problemas de segurança, sigilo ou qualquer outra coisa e usar desabilitações de SSL esse monitoramento. Assim https não é permitido nessas empresas (im não dizendo em todos eles, mas, obviamente, pelo menos em alguns deles, sim)
Radek