其实我唯一的要求是使用SSLencryption,当用户login时,密码被encryption传输。 然而,在阅读了关于协议切换的一些信息之后,HTTPS会话不能作为HTTP会话被接pipe。我一直在问自己,如果仅仅让整个应用程序只使用HTTPS,那么这样做是不好的。
什么原因反对它,你怎么评价他们的重要性? 请再提一下:
原因: 没有 。 互联网是不安全的networking,必须这样对待。
关于performance:
如果您的性能目标在99%的时间内不是<500 ms响应,那么SSL对您来说不是瓶颈。多数情况下,比转换SSL有更多有益的性能改进。
HTTPS ir握手的最大性能阻塞,但可以通过以下方式迁移它:
– 打开keepalive
– 启用TLS会话恢复,分摊密码学的成本,没有会话恢复客户端在每个请求发送证书(几kb / s)和服务器必须做RSA解密…
为了提高客户端/服务器端性能,减less请求/响应/压缩内容的数量更为重要。
如果您的服务器和客户端软件没有可怕的过时,SSL应该没有问题,不包括服务器上的证书/信任链安装和更新证书。
请记住,99%的networking应用程序是I / O,而不是CPU绑定,所以SSL将只使用空闲的服务器CPU周期。
您没有说明您正在使用哪种validation方法。 如果您使用的是基本身份validation,请记住在每次请求之前都会发送凭据,直到浏览器closures。 无论如何,所以没有任何一点切换。
对于任何SSL连接,唯一的性能问题是连接的初始握手。 一旦客户端和服务器交换了密钥,客户端和服务器上的开销就可以忽略不计了,所以继续SSL连接并没有什么实际的危害,除非你正在处理大量的服务器。 你期待什么样的负载?
同意SmallClanger和Kristaps。
我没有关于性能影响的数字,但我会去完整的SSL(关键字Firesheep )。 我知道这样的攻击手段已经存在多年了,但是现在意识正在增强,唯一真正的解决scheme就是全面的SSL。