1. Inicio
  2. Pregunta y respuesta
  3. ¿Buenas prácticas o mala práctica para forzar todo el sitio a HTTPS?

¿Buenas prácticas o mala práctica para forzar todo el sitio a HTTPS?

2009-06-12 12 views
5

Tengo un sitio que funciona muy bien cuando todo está en HTTPS (autenticación, servicios web, etc.). Si mezclo http y https, requiere más codificación (problemas de dominio cruzado).¿Buenas prácticas o mala práctica para forzar todo el sitio a HTTPS?

Parece que no veo muchos sitios web que están completamente en HTTPS, así que me preguntaba si era una mala idea hacerlo de esta manera.

Editar: Sitio debe ser alojado en la nube Azure en ancho de banda y uso de la CPU puede ser un problema ...

Fuente

2009-06-12 vidalsasoon

Respuesta

3

Si no tiene efectos secundarios, probablemente esté bien por el momento y podría estar feliz de no crear trabajo donde no lo necesite.

Sin embargo, hay pocas razones para encriptar todo su tráfico. Sin duda, las credenciales de inicio de sesión u otros datos confidenciales sí lo hacen. Una de las principales cosas que perderías es el almacenamiento en caché aguas abajo. Sus servidores, los ISP intermedios y los usuarios no pueden almacenar en caché el https. Esto puede no ser completamente relevante, ya que dice que solo está prestando servicios. Sin embargo, depende completamente de su configuración y de si existe la oportunidad de almacenar en caché y si el rendimiento es un problema en absoluto.

Fuente

2009-06-12 15:26:02 dove

+0

Gracias, no sabía sobre el almacenamiento en caché. El almacenamiento en caché puede ser muy importante para mí en mi página principal ya que habrá datos binarios cargados desde el servicio. – vidalsasoon

4

HTTPS disminuye el rendimiento del servidor por lo que puede ser una mala idea si su hardware no puede hacer frente a ella. Puede encontrar this post useful. Este documento (académico) también discute the overhead of HTTPS.

Fuente

2009-06-12 15:22:38 RichardOD

+1

El enlace al documento académico está muerto. ¿Podrías publicar una en vivo o solo el título del periódico? ¿Bastante por favor? – hannson

+1

¡Esta es la razón por la que realmente amo WayBackMachine! https://web.archive.org/web/20100215150018/http://iweb.tntech.edu/hexb/publications/https-STAR-03122003.pdf – Hath1

5

se pierde una gran cantidad de características con https (principalmente relacionados con el rendimiento)

  • proxy pueden no páginas de caché
  • no se puede utilizar un proxy inverso para la mejora del rendimiento
  • No puede alojar varios dominios en el misma dirección IP
  • Obviamente, el cifrado consume CPU

Tal vez eso no es problema para usted, sin embargo, realmente depende de los requisitos

Fuente

2009-06-12 15:23:57 chris166

+0

El navegador web tampoco guardará en caché el contenido. – BacMan

+3

Puede utilizar un proxy inverso con https, si el proxy inverso habla https al cliente y http simple a los servidores back-end. – dave4420

+4

Los navegadores web almacenan en caché el contenido de HTTPS. El comportamiento de almacenamiento en caché solo depende del encabezado de control de caché. Normalmente, cuando HTTPS se utiliza para transacciones, banca, etc., el control de caché está configurado en 'no-cache' – chris166

4

Si tiene solicitudes HTTP procedentes de una página HTTPS, obligará al usuario a confirmar la carga de datos inseguros. Molesto en algunos sitios web que uso

Fuente

2009-06-12 15:24:58

+1

Solo para ampliar esto un poco con un ejemplo: si muestra imágenes de otra URL (por ejemplo, un servidor de contenido o imagen) que no están encriptadas (por ejemplo, http://myimageserver.com/Image.jpg), entonces el navegador aparece una advertencia de que algunas partes de la página no están encriptadas. –

1

Odio correr en sitios totalmente inherentes a https que no manejan nada que realmente requiera cifrado. Principalmente porque todos parecen ser 10 veces más lentos que cualquier otro sitio que visito. Al igual que la mayoría de las páginas de documentación en developer.mozilla.org, lo forzarán a verlo con https, sin ningún motivo, y siempre lleva mucho tiempo cargar.

Fuente

2009-06-12 15:57:14 David

+2

Sí, odio los sitios que también se preocupan por proteger mi navegación web de las miradas indiscretas ... –

3

Es una buena idea usar todo-HTTPS, o al menos proporcionar a los usuarios expertos la opción de todo-HTTPS.

Si hay ciertos casos en los que HTTPS es completamente inútil y en esos casos encuentra que el rendimiento se degrada, solo entonces podrá usar o no HTTPS por defecto.

Fuente

2009-11-03 17:38:31 yfeldblum

Cuestiones relacionadas

 Cuestiones relacionadas