Recomendação: site da empresa forçado a https?

8

Minha empresa deseja que seu site "informativo" seja reescrito de HTTP para HTTPS. Tecnicamente, isso não é grande coisa para mim. Mas tenho dúvidas se esse é o estado da arte, já que a única razão pela qual eles desejam isso é criptografar contatos e inscrever formulários. (Eu poderia ativar o HTTPS para site com formulários, no entanto, eles não gostam dessa abordagem.)

Quais são as desvantagens e desacelerações de ter um site exclusivo da empresa HTTPS? Qual é a sua experiência e recomendação?

Os aplicativos da Web estão sendo executados em outro URL e são criptografados.

Saudações

website  https  rewrite 
zero_r
fonte
Talvez esteja faltando alguma coisa, mas como você reescreve algo para ser https? Você não ativaria apenas as páginas desse site para exigir SSL através do servidor da web?
Bart Silverstrim
3
Claro que eu usaria o mod_rewrite para encaminhar http: // solicitações para https: //.
zero_r

Respostas:

4

Executamos alguns de nossos sites apenas em HTTPS, a pedido dos administradores da empresa que desejavam enviar uma mensagem "Levamos a sua privacidade muito a sério" e, além da necessidade de um endereço IP dedicado para cada site, temos nunca notamos nenhum dreno em nossos servidores.

Esses são sites de baixo tráfego, talvez de 1000 a 5.000 acessos por dia, principalmente de visitantes que retornam.

Com o HTTPS, você também pode perder:

  • Armazenamento em cache do lado do cliente (o cache HTTPS é geralmente considerado um não-não, mas se você especificar explicitamente um expirescabeçalho, alguns navegadores ainda o armazenarão em cache)
  • Tempos de carregamento rápidos para usuários de discagem / alta latência (o handshake HTTPS é insignificante para banda larga, mas bastante perceptível para discagem ou pessoas na Tailândia)

Se essas coisas não o preocupam (elas não incomodavam nossos usuários ou empresas), digo: vá em frente - não faz sentido discutir!

Mark Henderson
fonte
Sei que essa é uma resposta antiga, mas o HTTPS que não armazena em cache sempre foi em grande parte um mito. Os navegadores ainda obedecem às suas diretivas de armazenamento em cache, como faria sem HTTPS, ou seja, tratam algo com "Expira" ou "Controle de cache: max-age = xx" da mesma maneira e faz as mesmas solicitações e coisas condicionais. Tudo o que você perde é o armazenamento em cache por proxies públicos, o que não é uma perda e tipo de objetivo do HTTPS. O ponto sobre a latência é absolutamente certo, o que é um pouco atenuado com a nova tecnologia como o TLS False Start, mas não completamente.
thomasrutter
5

De qualquer maneira, se o site estiver acessível a qualquer pessoa, não há nenhum ponto real no HTTPS além de habilitá-lo para os formulários, já que qualquer um pode ler a página. Por outro lado, o impacto do HTTPS no servidor é muito baixo, especialmente se você estiver executando uma página dinâmica de qualquer maneira, o que fará com que o impacto do HTTPS seja realmente imperceptível. Minha recomendação seria ativá-lo no servidor da Web, porque não há nada para reescrever, se você chegar a uma situação em que seu servidor precisará desse pouco desempenho que é retirado pelo HTTPS, você pode desativá-lo, mas você provavelmente não resolverá seus problemas de desempenho, se houver.

Então, resumindo, mantenha-se longe do aborrecimento lutando por algo assim e apenas ligue;)

Sideshowcoder
fonte
2

HTTPS é um pouco mais lento e um pouco mais intensivo do processador.

O HTTP pode ser lido por qualquer idiota com um sniffer de pacotes.

Satanicpuppy
fonte
11
Um pouco mais lento não começa a descrever a dor que isso causaria aos usuários em conexões de alta latência e / ou baixa largura de banda!
Brian Knoblauch
2
Meh. Se precisa ser seguro, precisa estar seguro.
23610 Satanicpuppy
2

Vantagens de usar SSL:

  • Informações confidenciais não são enviadas de forma clara

Desvantagens do uso de SSL:

  • Certificados e processos de renovação custam tempo e dinheiro.
  • Se você estragar o certificado, parecerá bobo de uma maneira muito pública.
  • O uso da CPU aumenta, tornando o site mais lento. Meça a diferença.
  • Os navegadores não armazenam em cache objetos buscados por https, portanto, o uso da largura de banda aumentará e os visitantes experimentarão o site como mais lento, porque cada objeto é buscado pela rede. Estime o uso aumentado da largura de banda com base no uso atual do tráfego.

Não use mod_rewrite para isso. Use redirecionamentos http 301 ou 302.

Alex Holst
fonte
Seus pontos são válidos. Apenas uma pequena nota: mod_rewrite suporta redirecionamentos 301 e 302, e seria realmente a ferramenta que eu usaria para forçar https.
Martijn Heemels
O Https é armazenado em cache, a única restrição é que alguns deles não acabam no disco . Detalhes aqui: stackoverflow.com/questions/174348/…
Tobu
1

Você precisará se lembrar de comprar e renovar certificados SSL de um provedor de certificados raiz reconhecido globalmente. Se você se esquecer de renovar, o site inteiro será exibido com uma mensagem de erro.

Tom Willwerth
fonte
Bem, você ainda pode acessar o site, apenas receba a mensagem "Oh meu Deus, isso pode ser ruim", na qual a maioria dos usuários apenas clica na calha de qualquer maneira. Mas acho que se eles obtiveram outros sites SSL, eles já receberam os Certificados necessários.
Sideshowcoder
1

Criptografar apenas o envio de formulários protege contra espionagem casual, mas um homem no meio simplesmente reescreveria o envio de formulários para acessar um URL simples de http. Se os formulários forem importantes, a página de envio do formulário também deve ser https e os usuários do formulário devem receber um breve URL https para digitar e marcar. Se todo o site for redirecionado para páginas https, você será indexado em https e os usuários não precisarão mais digitar.

É uma questão de qual modelo de ameaça você deseja se defender, ao custo de certificados e um pouco de CPU.

Tobu
fonte
1

Acho interessante que praticamente todos os sites que visito usem HTTPS, onde a segurança é necessária e HTTP em outros lugares. Espero que seja por causa das despesas gerais impostas pelo HTTPS, como outros já mencionaram.

John Gardeniers
fonte
0

Veja minha resposta em uma pergunta. Enquanto a pergunta original era sobre o JBoss e o AJP, a resposta incluía um conjunto de regras mod_rewrite que redireciona o tráfego não HTTPS para HTTPS.

Jeremy Bouse
fonte
0

O HTTPS reduzirá a velocidade do seu site, mas não pelos motivos sugeridos por outras pessoas. Ele não "suga sua CPU", mas apenas aumenta a latência adicionando handshakes SSL aos TCP para cada conexão. Isso pode fazer com que o desempenho diminua bastante em situações nas quais muitas conexões são necessárias para carregar a página (por exemplo, muitas imagens, etc.), especialmente se você tiver desativado o keepalives HTTP.

Ter o site inteiro em HTTPS certamente facilita o desenvolvimento - o site inteiro em HTTPS significa que seus desenvolvedores não precisam se preocupar com quais bits precisam ser HTTP e HTTPS, e quais páginas precisam mudar de um para outro e compondo links absolutos para aqueles etc.

Anteriormente, trabalhei em sites de comércio eletrônico que usavam uma mistura e fica muito difícil tentar mudar de seguro / não seguro nas páginas apropriadas, principalmente se o layout e a navegação do site forem complicados e reutilizados de uma página para outra ( normalmente na maioria dos sites)

Veja paypal.com para um exemplo de alguém que optou por colocar todo o site HTTPS. Mas percebo que os bancos raramente fazem isso.

MarkR
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.