Recomendación: ¿el sitio web de la empresa está obligado a https?

8

Mi empresa quiere que su sitio web "informativo" se reescriba de HTTP a HTTPS. Técnicamente esto no es un gran problema para mí. Pero tengo dudas si esto es lo último, ya que la única razón por la que quieren esto es cifrar los formularios de contacto y registro. (Podría habilitar HTTPS para el sitio con formularios, sin embargo, no les gusta ese enfoque).

¿Cuáles son las desventajas y las desventajas de tener un sitio web de la empresa HTTPS? ¿Cuál es su experiencia y recomendación?

Las aplicaciones web se ejecutan en otra URL y están encriptadas.

Saludos

website https rewrite cero_r
fuente
Tal vez me falta algo, pero ¿cómo reescribe algo para que sea https? ¿No permitiría que las páginas de ese sitio requieran SSL a través del servidor web?
Bart Silverstrim
3
Por supuesto, usaría mod_rewrite para reenviar http: // solicitudes a https: //.
zero_r

Respuestas:

4

Ejecutamos algunos de nuestros sitios web solo en HTTPS, a pedido de los administradores de la empresa que querían dar un mensaje de "Nos tomamos muy en serio su privacidad", y aparte de la necesidad de una dirección IP dedicada para cada sitio, hemos Nunca noté ningún drenaje en nuestros servidores.

Todos estos son sitios de poco tráfico, quizás 1000-5000 visitas al día, principalmente de visitantes que regresan.

Con HTTPS, también puede perder:

  • Almacenamiento en caché del lado del cliente (el almacenamiento en caché HTTPS generalmente se considera un no-no, pero si especifica explícitamente un expiresencabezado, algunos navegadores lo almacenarán en caché)
  • Tiempos de carga rápidos para usuarios de acceso telefónico / alta latencia (el protocolo de enlace HTTPS es insignificante para banda ancha, pero bastante notable para acceso telefónico o personas en Tailandia)

Si estas cosas no te preocupan (no lo hicieron con nuestros usuarios o empresas), entonces digo que lo hagas, ¡no tiene sentido discutir!

Mark Henderson
fuente
Me doy cuenta de que esta es una respuesta antigua, pero el HTTPS que no almacena en caché siempre fue en gran medida un mito. Los navegadores seguirán obedeciendo sus directivas de almacenamiento en caché como lo harían sin HTTPS, es decir, tratarán algo con "Caduca" o "Control de caché: max-age = xx" de la misma manera y harán las mismas solicitudes condicionales y otras cosas. Todo lo que pierde es el almacenamiento en caché mediante servidores proxy públicos, lo que no es una pérdida y un punto de HTTPS. Sin embargo, el punto sobre la latencia es absolutamente correcto, lo que se mitiga un poco con la nueva tecnología como TLS False Start, pero no del todo.
thomasrutter
5

Si el sitio web es accesible desde cualquier persona de todos modos, no hay ningún punto real en HTTPS además de habilitarlo para los formularios, ya que cualquiera puede leer la página de todos modos. Por otro lado, el impacto que HTTPS tiene en el servidor es realmente bajo, especialmente si está ejecutando alguna página dinámica de todos modos, lo que tendrá un impacto realmente imperceptible. Mi recomendación sería simplemente encenderlo en el servidor web, porque no hay nada que reescribir realmente, si alguna vez llega a una Situación en la que su servidor necesitará este pequeño rendimiento que HTTPS le quitará, podría apagarlo, pero probablemente no resolverá sus problemas de rendimiento si lo hay.

En resumen, evite la molestia de pelear por algo como esto y enciéndalo;)

Sideshowcoder
fuente
2

HTTPS es un poco más lento y un poco más intensivo en el procesador.

HTTP puede ser leído por cualquier idiota con un sniffer de paquetes.

Satanicpuppy
fuente
1
¡Un poco más lento no comienza a describir el dolor que esto infligiría a los usuarios en conexiones de alta latencia y / o ancho de banda bajo!
Brian Knoblauch
2
Meh Si necesita ser seguro, debe ser seguro.
Satanicpuppy
2

Ventajas de usar SSL:

  • La información confidencial no se envía de forma clara.

Desventajas de usar SSL:

  • Los certificados y procesos de renovación cuestan tiempo y dinero.
  • Si arruinas el certificado, te verás tonto de una manera muy pública.
  • El uso de la CPU aumenta, haciendo que su sitio web cargue más lentamente. Mide la diferencia.
  • Los navegadores no almacenan en caché los objetos recuperados a través de https, por lo que su uso de ancho de banda aumentará y los visitantes experimentarán que su sitio es más lento, porque cada objeto se recupera a través de la red. Estime el mayor uso de ancho de banda basado en el uso actual del tráfico.

No use mod_rewrite para esto. Utilice las redirecciones http 301 o 302.

Alex Holst
fuente
Tus puntos son validos. Solo una pequeña nota: mod_rewrite admite redireccionamientos 301 y 302 muy bien, y de hecho sería la herramienta que usaría para forzar https.
Martijn Heemels
Https está en caché, la única restricción es que parte no terminará en el disco . Detalles aquí: stackoverflow.com/questions/174348/…
Tobu
1

Deberá recordar comprar y renovar certificados SSL de un proveedor de certificados raíz reconocido a nivel mundial. Si olvida renovar, su sitio completo aparece con un mensaje de error.

Tom Willwerth
fuente
Bueno, todavía puedes ir al sitio, solo recibe un mensaje "Oh, Dios mío, esto podría ser malo", en el que la mayoría de los usuarios simplemente hacen clic. Pero supongo que si obtuvieron otros sitios SSL, ya obtuvieron los Certs necesarios.
Sideshowcoder
1

Cifrar solo el envío de formularios protege contra espías casuales, pero un hombre en el medio simplemente reescribiría el envío de formularios para ir a una url http simple. Si los formularios son importantes, la página de envío del formulario también debe ser https y los usuarios del formulario deben recibir una breve URL de https para escribir y marcar. Si todo su sitio redirige a páginas https, será indexado en https y los usuarios ya no tendrán que depender de escribir.

Se trata de qué modelo de amenaza quiere defender, a costa de los certificados y un poco de CPU.

Tobu
fuente
1

Encuentro interesante que casi todos los sitios que visito usan HTTPS donde se requiere seguridad y HTTP en otros lugares. Espero que eso se deba a los gastos generales impuestos por HTTPS, como ya han mencionado otros.

John Gardeniers
fuente
0

Ver mi respuesta en una pregunta. Si bien esa pregunta original era sobre JBoss y AJP, la respuesta incluía un conjunto de reglas mod_rewrite que redirige el tráfico que no es HTTPS a HTTPS.

Jeremy Bouse
fuente
0

HTTPS ralentizará su sitio web, pero no por las razones que otros han sugerido. No "absorberá su CPU", sino que solo aumentará la latencia al agregar protocolos de enlace SSL a los protocolos de enlace TCP para cada conexión. Esto puede hacer que el rendimiento disminuya mucho en situaciones en las que se requieren muchas conexiones para cargar la página (por ejemplo, muchas imágenes, etc.), especialmente si tiene activadas las funciones HTTP.

Tener todo el sitio en HTTPS ciertamente hace que el desarrollo sea más fácil: todo el sitio en HTTPS significa que sus desarrolladores no deben preocuparse por qué bits deben ser HTTP y HTTPS, y qué páginas deben cambiar de una a otra, y componer enlaces absolutos a esos etc.

Anteriormente, trabajé en sitios de comercio electrónico que usaban una mezcla y se vuelve bastante difícil tratar de cambiar de seguro / no seguro en las páginas apropiadas, particularmente si el diseño y la navegación de su sitio son complicados y se reutilizan de una página a otra ( que suele estar en la mayoría de los sitios)

Visite paypal.com para ver un ejemplo de alguien que eligió poner HTTPS en su sitio completo. Pero noto que los bancos rara vez lo hacen.

MarkR
fuente