Recomendação: site da empresa forçado a https?

Executamos alguns de nossos sites somente em HTTPS, a pedido de administradores da empresa que desejavam transmitir uma mensagem "Levamos sua privacidade realmente a sério" e, além da necessidade de um endereço IP dedicado para cada site, nós nunca notamos nenhum dreno em nossos servidores.

Estes são todos os sites de baixo tráfego, talvez 1000-5000 acessos por dia, principalmente de visitantes de retorno.

Com HTTPS, você também pode perder:

• Armazenamento em cache no lado do cliente (o armazenamento em cache de HTTPS é geralmente considerado um não-não, mas se você especificar explicitamente um cabeçalho expires , alguns navegadores ainda o armazenarão em cache)
• Tempos de carregamento rápido para usuários de discagem / alta latência (o handshake de HTTPS é negligenciável para banda larga, mas bastante notável para discagem ou pessoas na Tailândia)

Se essas coisas não o incomodarem (não foram para nossos usuários ou empresas), então eu digo: não adianta discutir!

Se o site for acessado por qualquer pessoa, não há nenhum ponto real em HTTPS além de habilitá-lo para os formulários, já que qualquer um pode ler a página de qualquer maneira. Por outro lado, o impacto que o HTTPS tem sobre o servidor é muito baixo, especialmente se você estiver executando alguma página dinâmica de qualquer maneira que fará com que o impacto HTTPS seja realmente imperceptível. Minha recomendação seria apenas ligá-lo no servidor Web, porque não há nada para reescrever realmente, se você chegar a uma situação onde seu servidor vai precisar deste pequeno desempenho que é tirado por HTTPS você pode desligá-lo, mas você provavelmente não resolverá seus problemas de desempenho fazendo isso se houver algum.

Então, em suma, mantenha-se longe do incômodo de lutar sobre algo assim e apenas ligue-o;)

O HTTPS é um pouco mais lento e exige pouco mais de processamento.

O HTTP pode ser lido por qualquer idiota com um sniffer de pacotes.

Vantagens de usar o SSL:

• As informações confidenciais não são enviadas claramente

Desvantagens de usar o SSL:

• Certificados e processos para renovação custam tempo e dinheiro.
• Se você errar o certificado, você parecerá bobo de uma forma muito pública.
• O uso da CPU aumenta, fazendo com que o site seja mais lento. Meça a diferença.
• Os navegadores não armazenam em cache objetos buscados por https, portanto, o uso da largura de banda aumentará e os visitantes perceberão que o site está mais lento, porque cada objeto é buscado na rede. Estimar o aumento do uso da largura de banda com base no uso atual do tráfego.

Não use mod_rewrite para isso. Use redirecionamentos http 301 ou 302.

Você precisará se lembrar de comprar e renovar certificados SSL de um provedor de certificados raiz reconhecido mundialmente. Se você esquecer de renovar, vai todo o seu site com uma mensagem de erro.

O envio de formulários com criptografia apenas protege contra espionagem casual, mas um homem no meio simplesmente reescreveria o envio do formulário para ir para uma URL http simples. Se os formulários forem importantes, a página de envio do formulário também deverá ser https e os usuários do formulário deverão receber um URL https curto para digitar e marcar. Se todo o seu site redireciona para as páginas https, você será indexado em https e os usuários não precisarão mais depender da digitação.

É uma questão de qual modelo de ameaça você deseja defender, ao custo de certificados e um pouco de CPU.

Acho interessante que quase todos os sites que eu visito usam HTTPS, onde a segurança é necessária e o HTTP em outro lugar. Espero que seja por causa das sobrecargas impostas pelo HTTPS, como outros já mencionaram.

Veja meu responda a uma pergunta. Enquanto a pergunta original era sobre JBoss e AJP, a resposta incluía um conjunto de regras mod_rewrite que redireciona o tráfego não-HTTPS para HTTPS.

O HTTPS diminuirá o seu site, mas não pelas razões sugeridas por outros. Ele não vai "sugar sua CPU", ao contrário, apenas aumenta a latência, adicionando handshakes SSL aos handshakes TCP para cada conexão. Isso pode fazer com que o desempenho diminua bastante em situações em que muitas conexões são necessárias para carregar a página (por exemplo, muitas imagens, etc.), especialmente se você tiver keepalives HTTP desativados.

Ter o site inteiro em HTTPS certamente torna o desenvolvimento mais fácil - todo o site em HTTPS significa que seus desenvolvedores não precisam se preocupar com quais bits precisam ser HTTP e HTTPS, e quais páginas precisam alternar de um para outro; compondo links absolutos para aqueles etc.

Anteriormente, trabalhei em sites de comércio eletrônico que usavam uma mistura e fica muito difícil tentar mudar de seguro / não seguro nas páginas apropriadas, especialmente se o layout e a navegação do site forem complicados e reutilizados em uma única página. para outro (o que geralmente é na maioria dos sites)

Veja paypal.com para um exemplo de alguém que escolheu apenas colocar todo o site HTTPS. Mas percebo que os bancos raramente fazem isso.