Estou planejando criar um aplicativo no qual meus usuários possam criar contas, enviar e-mails para outros usuários, etc. O site também terá fóruns, bate-papo etc. Também será necessário processar cartões de crédito. Estou tentando decidir quais partes do site devem estar em https. Agora estou me perguntando se há algum problema em apenas ter o site inteiro em SSL.
Alguma sugestão?
Haverá alguma sobrecarga de processamento para estabelecer a conexão SSL, mas em caixas modernas e sites levemente carregados que provavelmente não serão muito perceptíveis.
Se você tiver fóruns nos quais os usuários estão postando imagens de fora de seu site, as pessoas verão um aviso de conteúdo misto de SSL (seu site é SSL, mas há recursos que não são SSL). Dependendo da sua população de usuários, isso pode assustar algumas pessoas.
Se você estiver lidando com dados de cartão de crédito, vale a pena ler também os padrões apropriados. Você precisa estar em conformidade com o PCI-DSS. A Wikipedia tem indicações para a documentação apropriada .
Lembre-se de que há alguma desvantagem ao usar o SSL.
Isso aumentará a comunicação de sobrecarga, o que, de alguma forma, fará com que seu site receba uma resposta mais lenta. Além disso, seu cliente precisa ter um certificado SSL para acessar seu servidor.
Algo importante, dados confidenciais devem ser criptografados, como login, informações de credenciais.