Хорошая практика или плохая практика, чтобы заставить весь сайт к HTTPS?

Question

У меня есть сайт, который очень хорошо работает, когда все в HTTPS (аутентификация, веб-сервисы и т. Д.). Если я смешиваю http и https, это требует больше кодирования (междоменные проблемы).

Кажется, я не вижу много веб-сайтов, полностью работающих по протоколу HTTPS, поэтому мне было интересно, было ли плохой идеей так поступить?

Изменить: Сайт должен быть размещен в облаке Azure, где могут возникнуть проблемы с пропускной способностью и использованием ЦП ...

РЕДАКТИРОВАТЬ 10 ​​лет спустя: правильный ответ - использовать только https.

Answer 1

вы теряете много функций с https (в основном, связанных с производительностью)

• Прокси не может кэшировать страницы
• Нельзя использовать обратный прокси-сервер для улучшения производительности
• Вы не можете разместить несколько доменов на одном и том же IP-адресе.
• Очевидно, что шифрование потребляет процессор

Может быть, это не проблема для вас, это действительно зависит от требований

Answer 2

Если у вас есть HTTP-запросы, поступающие со страницы HTTPS, вы заставите пользователя подтвердить загрузку незащищенных данных. Раздражает на некоторых сайтах, которые я использую.

Answer 3

HTTPS снижает пропускную способность сервера, поэтому может быть плохой идеей, если ваше оборудование не справляется с этим. Вы можете найти этот пост полезным . Эта статья (академическая) также обсуждает накладные расходы HTTPS .

Answer 4

На этот вопрос и особенно ответы OBSOLETE . Этот вопрос должен быть помечен: <meta name="robots" content="noindex">, чтобы он больше не появлялся в результатах поиска.

Чтобы сделать ЭТОТ ответ актуальным:

1. Google теперь оштрафовывает поисковые запросы веб-сайтов, если они не используют TLS / https. ТАКЖЕ вы будете оштрафованы в рейтингах за дублированный контент, поэтому будьте осторожны, чтобы обслуживать страницу ИЛИ как http ИЛИ https НО НИКОГДА (Или используйте точные канонические метки!)

2. Google также настойчиво указывает на небезопасные соединения , что негативно сказывается на конверсиях, отпугивая потенциальных пользователей.

3. Это преследует сеть / интернет только для TLS, которая является ХОРОШИМ . TLS - это не только защита ваших паролей, но и обеспечение безопасности всей вашей мировой среды и подлинности .

4. Миф о «снижении производительности» на самом деле основан на устаревшей устаревшей технологии. Это сравнение , которое показывает, что TLS работает быстрее, чем HTTP (однако следует отметить, что страница также является сравнением зашифрованных HTTP / 2 HTTPS с открытым текстом HTTP / 1.1) .

5. Это довольно легко и бесплатно реализовать, используя LetsEncrypt , если у вас еще нет сертификата.

6. Если у вас действительно есть сертификат, разбейте люки и везде используйте HTTPS.

TL; DR, здесь в 2019 году идеально использовать TLS для всего сайта, а также рекомендуется использовать HTTP / 2.

</soapbox>

Answer 5

Хорошей идеей является использование всех HTTPS или, по крайней мере, предоставление опытным пользователям опции для всех HTTPS.

Если есть определенные случаи, когда HTTPS совершенно бесполезен, и в этих случаях вы обнаружите, что производительность снижается, только тогда вы по умолчанию включите или разрешите не HTTPS.

Answer 6

Если у вас нет побочных эффектов, тогда вы, вероятно, в порядке на данный момент и, возможно, будете рады не создавать работу там, где она не нужна.

Однако, есть мало причин для шифрования всего вашего трафика. Конечно, учетные данные для входа или другие конфиденциальные данные делают. Одна из главных вещей, по которой вы бы проиграли, это последующее кэширование. Ваши серверы, промежуточные интернет-провайдеры и пользователи не могут кэшировать https. Это может быть не совсем уместно, поскольку в нем говорится, что вы предоставляете только услуги. Однако это полностью зависит от вашей настройки и от того, есть ли возможность для кэширования, и если производительность вообще является проблемой.

Answer 7

Я ненавижу бессмысленно заходить на все-https сайты, которые не обрабатывают ничего, что действительно требует шифрования. Главным образом потому, что все они кажутся в 10 раз медленнее, чем любой другой сайт, который я посещаю. Как и большинство страниц документации на developer.mozilla.org, вы будете вынуждены просматривать его с помощью https безо всякой причины, а загрузка всегда занимает много времени.