Devo hospedar toda a minha aplicação web usando https?

5

Na verdade, meu único requisito para usar a criptografia SSL é que, quando um usuário faz login, a senha é transferida criptografada. No entanto, depois de ler um pouco sobre a alternância de protocolos, que uma sessão HTTPS não pode ser tomada como uma sessão HTTP, etc. Eu tenho me perguntado se é tão ruim ter apenas o aplicativo inteiro usando apenas HTTPS.

Quais são as razões contra isso e como você avaliaria sua importância? Por favor, mencione também:

  • Quanto desempenho perco no lado do servidor (aproximadamente)?
  • Quanto desempenho perco no lado do cliente (aproximadamente)?
  • Algum outro problema no servidor / cliente?
por Joe 11.11.2010 / 11:45

3 respostas

13

Razões contra: nenhum . Internet é uma rede insegura e deve ser tratada como tal.
 Sobre o desempenho:
 se o seu objetivo de desempenho não for < Resposta de 500 ms em 99% do tempo, o SSL não é um gargalo para você. Na maioria das vezes, há muito mais melhorias de desempenho benéficas disponíveis do que o giro do SSL.

Maior obstrução de desempenho para o handshake HTTPS ir, mas você pode compensá-lo por:
  - ativando o keepalive
  - permitindo a retomada da sessão TLS, que amortiza o custo da criptografia assimétrica, sem o cliente de retomada de sessão em cada requisição envia um certificado (poucos kb / s) e o servidor tem que fazer a descriptografia RSA ...

Para melhorar o desempenho do lado do cliente / servidor, é mais importante reduzir o número de solicitações / respostas / comprimir o conteúdo ... etc.

Se o seu software de servidor e cliente não estiver horrivelmente desatualizado, não deverá haver problemas com SSL, excluindo a instalação da cadeia de certificação / confiança no servidor e renovando o certificado ...

Lembre-se de que 99% dos aplicativos da Web são E / S, não vinculados à CPU, portanto, o SSL estará usando apenas ciclos de CPU do servidor ociosos.

    
por 11.11.2010 / 12:42
3

Você não indica qual método de autenticação está usando. Se você estiver usando a autenticação Básica, lembre-se de que as credenciais são enviadas com todas as solicitações até que o navegador seja fechado. De qualquer forma, então não faz sentido mudar de posição.

Com qualquer conexão SSL, o único aspecto com alto desempenho é o handshaking inicial para a conexão. Depois que o cliente e o servidor trocam chaves, a sobrecarga é insignificante no cliente e no servidor, portanto, não há nenhum dano real em continuar a conexão SSL, a menos que você esteja lidando com um servidor de alto volume. Que tipo de carga você está esperando?

    
por 11.11.2010 / 12:42
2

Concordar com SmallClanger e Kristaps.

Eu não tenho números sobre o impacto no desempenho, mas eu iria com SSL completo (palavra-chave Firesheep ). Eu sei que tais técnicas de ataque existem há anos, mas a consciência está aumentando agora e a única solução real é o SSL completo.

    
por 11.11.2010 / 13:44