HTTPS para todo el sitio

10

Estoy trabajando en un sitio web bastante estándar con contenido público más contenido personal / personalizado para usuarios registrados. Sé que necesito usar HTTPS cuando los usuarios inician sesión o envían datos de la tarjeta de crédito. ¿Hay alguna razón por la que no debería usar HTTPS para todo el sitio?

https BenV
fuente

Respuestas:

12

Sí, hay una razón por la que no deberías usarlo en todo el sitio. Algunos navegadores (según la marca y la versión) no almacenarán en caché el contenido de las solicitudes HTTPS en el disco, lo que puede ralentizar seriamente la experiencia de navegación para los usuarios, ya que los activos estáticos se cargarán con cada solicitud de página (hojas de estilo, JavaScript, imágenes de encabezado, etc.) . Por ejemplo, Mozilla afirma que:

"El almacenamiento en caché de disco guarda copias de los archivos descargados en el disco duro, por lo que no es necesario descargarlos para volver a visualizarlos. Cualquier persona que tenga permiso para acceder a la carpeta de caché puede ver estas páginas. Las páginas transmitidas con cifrado SSL a menudo contienen información confidencial y el almacenamiento en caché de estas páginas en el disco puede presentar un riesgo de privacidad. Esta preferencia controla si almacenar en caché las páginas del disco que se transmitieron con encriptación SSL ".

La forma en que los navegadores individuales almacenan en caché HTTPS es algo discutible, pero aún existe una buena posibilidad de que muchos usuarios tengan deshabilitado el almacenamiento en caché de disco para solicitudes HTTPS.

En segundo lugar, HTTPS requiere un " apretón de manos " para cada solicitud y esto viene con algunos gastos generales, lo que afectará el rendimiento y hará que las solicitudes sean más grandes (generalmente solo unos pocos KB, pero es para cada solicitud y esto se suma). HTTP KeepAlive puede limitar esto, pero sigue siendo una sobrecarga que no necesita para contenido no seguro.

Dan Diplo
fuente
2
Todo aquí es verdad. Sin embargo, hemos estado ejecutando un sitio web SSL completo durante aproximadamente 5 años y nunca hemos tenido una queja de nuestros usuarios. La mayoría de ellos son corporativos, así que en IE6 e IE7 con algunos en Firefox en estos días. El almacenamiento en caché parecía funcionar bien, pero teníamos reglas explícitas de expiración de contenido establecidas en muchas imágenes, no sé si eso hizo la diferencia.
Mark Henderson el
55
No adivines: prueba :-). Una forma simple (aunque aproximada y no completa al 100%) de verificar si el almacenamiento en caché está funcionando es verificar los registros de su servidor para las solicitudes de los usuarios. ¿Solicitan todas las imágenes / archivos o solo el contenido no almacenado en caché? Los usuarios individuales son malos jueces de latencia, pero cuando se agregan, los milisegundos pueden ser visibles, por lo que sin duda me aseguraría de que la velocidad sea realmente aceptable.
John Mueller
10

Si planea ejecutar SSL completo, asegúrese de que los servicios de terceros alojados que esté utilizando (servidor de anuncios, análisis, herramientas para compartir, etc.) tengan versiones SSL disponibles, o recibirá advertencias de contenido mixto en algunos navegadores.

JasonBirch
fuente
5

Otro problema es que todo lo que sirve desde cualquier página realmente debe ir a través de SSL, incluidos los recursos de terceros. Descubrimos que este es un problema real con algo como YouTube, por ejemplo. Dado que Google no tiene vídeos de YouTube disponible a través de SSL, significa que cualquier vídeo de YouTube que hacer va a incrustar en una página en su sitio hará que el "esta página contiene segura y no segura de contenido" de advertencia. Si bien esto es sutil en la mayoría de los navegadores, es un gran diálogo en IE y puede hacer que algunos usuarios abandonen su sitio con bastante rapidez, aferrando sus datos a su pecho con miedo.

Bobby Jack
fuente
2

También debes pensar en el crecimiento. Una vez que tenga más de un único servidor web, tendrá que decidir: ¿Desea proporcionar HTTPS en cada servidor individual y, de ser así, utilizará el mismo certificado o un certificado por servidor como se recomienda a menudo? He visto configuraciones más comunes donde hay menos servidores HTTPS, ya que generalmente solo se usan para el procesamiento de detalles confidenciales y más servidores HTTP, ya que estos tienden a recibir la mayor parte del tráfico. HTTPS agrega un poco más de complejidad a cada una de sus configuraciones. Sólo algo para tener en cuenta.

gabe
fuente
1

Según lo veo, la única razón para no usar HTTPS en todo su sitio es que ralentizará su servidor y los visitantes tendrán una experiencia de navegación un poco más lenta. Dicho esto, hay beneficios. Específicamente:

  1. Nunca tendrá que preocuparse por poner los datos que desea mantener seguros en cualquier página de su sitio. No puedes olvidarlo.
  2. Los usuarios notarán que su sitio está encriptado por completo y pueden sentirse más seguros al brindarle su información.
  3. Los usuarios saben que su sitio web pertenece a su empresa y no ha sido tomado.

Más allá de hacer que sea más fácil para sus desarrolladores no preocuparse por mostrar datos seguros en una página sin cifrar, realmente no hay ninguna razón técnica para usar HTTPS en cada página. Por el mismo razonamiento, hay muy pocas razones para no hacerlo.

Ben Hoffman
fuente
Otra razón para no usar HTTPS en todo el sitio ... se usará más ancho de banda ya que las páginas no se almacenarán en caché del lado del cliente (en teoría).
MrWhite
"Nunca tendrá que preocuparse por poner los datos que desea mantener seguros en cualquier página de su sitio". - No estoy seguro de cuán cierto es esto. Google indexará _y caché_ (!) Estas páginas de forma predeterminada. Y si se solicita, parece servir la versión en caché como HTTP simple.
MrWhite
0

Por último, pero no menos importante, a varios empleadores no les gusta que sus empleados naveguen en sitios https "encriptados". Este es el caso de las empresas y organizaciones de defensa / seguridad, por lo que si tiene un sitio web "solo https", puede perder algunos de estos visitantes / clientes, porque su red simplemente no les permitirá navegar por su sitio.

Radek
fuente
¿Tienes alguna evidencia de esto? ¿Puedes enlazar a artículos que respalden esta afirmación?
Andrew Lott
Tengo mi experiencia personal con este tema. Ejecuto un gran sitio web centrado en el ejército y mientras probamos la configuración HTTPS, descubrimos que esto será un problema para gran parte de nuestros usuarios, solo porque sus empleadores no permiten la navegación https desde su red (incluso acceden a bancos, wikipedia y otros sitios a través de https es imposible). Lancé otro hilo sobre cómo abordar este problema, cuando Google nos obliga a cambiar a https: este no es un problema que todos conozcan, pero podría suceder y la gente podría necesitar considerarlo.
Radek
Me explico a mí mismo que algunas herramientas de monitoreo necesitan ver el "contenido" de los paquetes en el proxy o cualquier "hombre en el medio" entre estos usuarios y sitios web, para poder monitorear problemas de seguridad, secreto o lo que sea, y el uso de SSL no permite Tal monitoreo. Por lo tanto, https no está permitido en estas empresas (no estoy diciendo en todas ellas, pero obviamente al menos en algunas de ellas, sí)
Radek