SSL на весь сайт или только его часть?

Question

У меня есть сайт ... давайте назовем его mysite.com. На этом сайте есть раздел регистрации, который, по моему мнению, должен быть защищенным.

a) Должен ли я включить ssl на всем сайте или просто зарегистрироваться (например, signup.mysite.com) б) Каковы плюсы и минусы включения его для всего сайта?

Answer 1

Зависит от того, что обслуживает ваш сайт. Если данные, которые он обслуживает, являются конфиденциальными, то предоставление полного зашифрованного соединения SSL является бонусом.

Но, как уже упоминали другие, вы съедите свою пропускную способность. Данные, зашифрованные с помощью SSL, будь то изображения, HTML-страницы или другая информация, не (предполагается, что) кэшируются на клиенте, поэтому каждый раз, когда пользователь перезагружает браузер, файлы загружаются снова.

Я бы согласился с Vinay, предоставил бы вход / регистрацию по SSL, а затем вернулся к нормальному HTTP, затем посмотрите.

Другой подход может заключаться в том, чтобы предоставить весь ваш статический контент по HTTP, а весь чувствительный контент по HTTPS (например, если вы используете системы, такие как ExtJS, то страницы являются статическими файлами, а все данные извлекаются через AJAX).

Конечно, если вы предоставляете конфиденциальную информацию (например, банковскую информацию), где сами данные всегда конфиденциальны, то используйте полный SSL и съешьте расходы.

Answer 2

Использование полностью SSL не обязательно увеличит ваши счета за пропускную способность. Шифрование не делает данные больше. Убедитесь, что вы включили сжатие Deflate, а также.

Если SSL может увеличить ваш счет за пропускную способность, некоторые браузеры (Firefox) не кэшируют страницы, извлеченные через SSL, на диск. Это означает, что в следующий раз, когда пользователь посетит ваш сайт после выхода из браузера, он снова загрузит каждый бит контента.

Если вы решили обеспечить конфиденциальность пользователей, убедитесь, что для любых файлов cookie, отправляемых вашим сайтом, установлен флажок «только через SSL», в противном случае пользователи могут быть обмануты, чтобы выдать этот файл cookie в виде простого фишинга.

SSL также означает оплату сертификата, подписанного значимым центром сертификации, который в некоторых случаях будет стоить больше, чем ваша пропускная способность.

Answer 3

Pro повышает безопасность и конфиденциальность всех страниц вашего сайта, а недостатком является снижение производительности из-за необходимости шифровать / дешифровать трафик на обоих концах соединения.

Для некоторых общедоступных общедоступных сайтов, таких как GMail, в которых SSL используется только для входа в систему, усиливается давление, чтобы все страницы использовали SSL.

Я бы сказал, попробуйте и посмотрите, не является ли производительность проблемой. Если нет, ну и хорошо; в противном случае вы всегда можете использовать SSL только для входа.

Answer 4

Использование всего сайта SSL будет использовать вашу пропускную способность, так как весь контент зашифрован, включая изображения. Пожалуйста, проверьте apache ssl faq для получения дополнительной информации