我的公司希望将其“信息”网站从HTTP重写为HTTPS。 从技术上讲,这对我来说不是什么大问题。 但是我怀疑这是否是最先进的,因为他们想要这个的唯一原因是encryption联系人和registry单。 (我可以使用表单为网站启用HTTPS,但是,他们不喜欢这种方法。)
拥有HTTPS公司网站的缺点和低迷是什么? 你有什么经验和build议?
Web应用程序正在另一个URL上运行,并被encryption。
问候
我们仅在HTTPS上运行我们的一些网站,应公司pipe理人员的要求,他们希望发出“我们真的认真对待您的隐私”的信息,除了需要为每个网站提供专用的IP地址外,我们还从来没有发现任何我们的服
这些都是低stream量的网站,每天可能有1000-5000次点击,主要来自回访者。
使用HTTPS,您也可能会丢失:
expires头部,某些浏览器仍然会caching) 如果这些东西不担心你(他们没有给我们的用户或公司),那么我说去争取 – 没有争论的意义!
如果任何人都可以从任何人访问网站,除了为表单启用HTTPS之外,没有任何真正的意义,因为任何人都可以阅读该页面。 另一方面,HTTPS对服务器的影响真的很低,特别是如果你正在运行一些dynamic页面,这会使HTTPS的影响真的不明显。 我的build议只是在Web服务器上打开它,因为没有什么可以改写,如果你的服务器需要这样的性能,HTTPS就会把它关掉,但如果有任何问题,您可能无法解决您的性能问题。
所以简而言之就是让自己免于打架这样的麻烦,然后把它打开;)
HTTPS稍微慢一些,处理器密集度稍高一些。
HTTP可以被任何使用数据包嗅探器的schmuck读取。
使用SSL的优点:
使用SSL的缺点:
不要为此使用mod_rewrite。 使用http 301或302redirect。
您需要记住从全球认可的根证书提供商处购买和更新SSL证书。 如果您忘记更新,那么您的整个网站都会显示一条错误消息。
只对表单提交进行encryption可以防止偶然的窥探,但是中间的一个人只是简单地将表单提交改写成一个普通的http url。 如果表单很重要,表单提交页面也应该是https,并且表单用户应该被给一个简短的https地址来键入和书签。 如果您的整个网站redirect到https页面,您将在https中获得索引,用户将不必再依靠打字。
这是一个什么样的威胁模型,你要防御的问题,以证书和CPU的代价为代价。
我发现有趣的是,我访问的每个站点都使用HTTPS,其中需要安全性,其他地方使用HTTP。 我期望这是因为HTTPS所带来的开销,正如其他人已经提到的那样。
看到我的答案在一个问题上。 尽pipe最初的问题是关于JBoss和AJP,但答案还包括一个将非HTTPSstream量redirect到HTTPS的mod_rewrite规则集。
HTTPS会减慢您的网站,但不是由于其他人所build议的原因。 它不会“吮吸你的CPU”,相反,它只是通过为每个连接的TCP握手添加SSL握手来增加延迟。 这可能会导致性能下降很多情况下,需要很多连接来加载页面(如大量的图像等),特别是如果你有HTTP保持closures。
在HTTPS上使用整个站点肯定会使开发更容易 – HTTPS上的整个站点意味着您的开发人员不需要担心哪些位需要是HTTP和HTTPS,哪些页面需要从一个切换到另一个,以及组成绝对链接那些等等
以前,我曾经在电子商务网站上使用混合,并试图从适当的页面上的安全/非安全切换,特别是如果您的网站布局和导航是复杂的,并从一个页面重用到另一个这通常是在大多数网站)
有关select仅放置整个网站HTTPS的人的示例,请参阅paypal.com。 但我注意到银行很less这样做。