Recommandation: le site Web de l'entreprise contraint à https?


8

Mon entreprise souhaite que son site Web "informatif" soit réécrit de HTTP en HTTPS. Techniquement, ce n'est pas un gros problème pour moi. Mais je doute que ce soit à la pointe de la technologie, car la seule raison pour laquelle ils le souhaitent est de crypter les formulaires de contact et d'inscription. (Je pourrais activer HTTPS pour le site avec des formulaires, cependant, ils n'aiment pas cette approche.)

Quels sont les inconvénients et les ralentissements d'avoir un site Web d'entreprise HTTPS uniquement? Quelle est votre expérience et votre recommandation?

Les applications Web s'exécutent sur une autre URL et sont cryptées.

Cordialement


Peut-être que je manque quelque chose, mais comment réécrivez-vous quelque chose en https? Ne permettez-vous pas simplement aux pages de ce site d'exiger SSL via le serveur Web?
Bart Silverstrim

3
Bien sûr, j'utiliserais mod_rewrite pour transmettre des requêtes http: // à https: //.
zero_r

Réponses:


4

Nous gérons quelques-uns de nos sites Web sur HTTPS uniquement, à la demande des administrateurs de l'entreprise qui souhaitaient diffuser un message "Nous prenons votre confidentialité très au sérieux", et en plus de la nécessité d'une adresse IP dédiée pour chaque site, nous avons jamais remarqué de vidange sur nos serveurs.

Ce sont tous des sites à faible trafic, peut-être 1 000 à 5 000 visites par jour, principalement des visiteurs de retour.

Avec HTTPS, vous pouvez également perdre:

  • Mise en cache côté client (la mise en cache HTTPS est généralement considérée comme un non-non, mais si vous spécifiez explicitement un en- expirestête, certains navigateurs la mettent toujours en cache)
  • Temps de chargement rapides pour les utilisateurs d'accès à distance / à latence élevée (la prise de contact HTTPS est négligeable pour le haut débit, mais tout à fait notable pour les accès à distance ou les personnes en Thaïlande)

Si ces choses ne vous inquiètent pas (elles ne le sont pas pour nos utilisateurs ou nos entreprises), alors je dis allez-y - inutile de discuter!


Je me rends compte que c'est une vieille réponse, mais le fait de ne pas mettre en cache HTTPS a toujours été largement un mythe. Les navigateurs obéiront toujours à vos directives de mise en cache comme ils le feraient sans HTTPS, c'est-à-dire qu'ils traiteront quelque chose avec "Expires" ou "Cache-control: max-age = xx" de la même manière et feront les mêmes requêtes conditionnelles et autres choses. Tout ce que vous perdez est la mise en cache par des proxys publics, ce qui n'est pas une perte et une sorte de point de HTTPS. Le point sur la latence est tout à fait vrai, ce qui est un peu atténué par les nouvelles technologies comme TLS False Start, mais pas complètement.
thomasrutter

5

Si le site Web est accessible à tout le monde de toute façon, il n'y a pas vraiment d'intérêt en HTTPS à part l'activer pour les formulaires, car tout le monde peut lire la page de toute façon. D'un autre côté, l'impact HTTPS sur le serveur est vraiment faible, surtout si vous exécutez une page dynamique de toute façon, ce qui rendra l'impact HTTPS vraiment imperceptible. Ma recommandation serait simplement de l'activer sur le serveur Web, car il n'y a vraiment rien à réécrire, si jamais vous vous trouvez dans une situation où votre serveur va avoir besoin de ces petites performances qui sont supprimées par HTTPS, vous pouvez le désactiver, mais vous ne résoudrez probablement pas vos problèmes de performances en le faisant, le cas échéant.

Donc, en bref, évitez les tracas de vous battre contre quelque chose comme ça et allumez-le;)


2

HTTPS est un peu plus lent et un peu plus gourmand en processeur.

HTTP peut être lu par n'importe quel schmuck avec un renifleur de paquets.


1
Un peu plus lent ne commence pas à décrire la douleur que cela pourrait infliger aux utilisateurs sur les connexions à latence élevée et / ou à faible bande passante!
Brian Knoblauch

2
Meh. S'il doit être sécurisé, il doit être sécurisé.
Satanicpuppy

2

Avantages de l'utilisation de SSL:

  • Les informations sensibles ne sont pas envoyées en clair

Inconvénients de l'utilisation de SSL:

  • Les certificats et les processus de renouvellement coûtent du temps et de l'argent.
  • Si vous gâchez le certificat, vous allez avoir l'air idiot d'une manière très publique.
  • L'utilisation du processeur augmente, ce qui ralentit la charge de votre site Web. Mesurez la différence.
  • Les navigateurs ne mettent pas en cache les objets récupérés via https, donc votre utilisation de la bande passante augmentera et les visiteurs verront votre site comme plus lent, car chaque objet est récupéré sur le réseau. Estimez l'utilisation accrue de la bande passante en fonction de l'utilisation actuelle du trafic.

N'utilisez pas mod_rewrite pour cela. Utilisez les redirections http 301 ou 302.


Vos points sont valables. Juste une petite note: mod_rewrite prend en charge les redirections 301 et 302 très bien, et serait en effet l'outil que j'utiliserais pour forcer https.
Martijn Heemels

Https est mis en cache, la seule restriction est que certains ne se retrouveront pas sur le disque . Détails ici: stackoverflow.com/questions/174348/…
Tobu

1

Vous devrez vous rappeler d'acheter et de renouveler des certificats SSL auprès d'un fournisseur de certificats racine reconnu mondialement. Si vous oubliez de renouveler, votre site entier affiche un message d'erreur.


Eh bien, vous pouvez toujours aller sur le site, obtenez simplement un message "Oh mon Dieu, cela pourrait être mauvais", que la plupart des utilisateurs cliquent de toute façon. Mais je suppose que s'ils ont obtenu d'autres sites SSL, ils ont déjà obtenu les certificats nécessaires.
Sideshowcoder

1

Crypter uniquement la soumission du formulaire protège contre l'espionnage occasionnel, mais un homme au milieu réécrirait simplement la soumission du formulaire pour accéder à une URL http simple. Si les formulaires sont importants, la page de soumission du formulaire doit également être https et les utilisateurs du formulaire doivent recevoir une courte URL https pour taper et mettre en signet. Si l'ensemble de votre site redirige vers des pages https, vous serez indexé dans https et les utilisateurs n'auront plus besoin de taper.

Il s'agit de savoir contre quel modèle de menace vous voulez vous défendre, au prix de certificats et d'un peu de CPU.


1

Je trouve intéressant que presque tous les sites que je visite utilisent HTTPS où la sécurité est requise et HTTP ailleurs. Je pense que c'est à cause des frais généraux imposés par HTTPS, comme d'autres l'ont déjà mentionné.


0

Voir ma réponse sur une question. Alors que cette question d'origine concernait JBoss et AJP, la réponse comprenait un ensemble de règles mod_rewrite qui redirige le trafic non HTTPS vers HTTPS.


0

HTTPS ralentira votre site Web, mais pas pour les raisons suggérées par d'autres. Il ne va pas "aspirer votre CPU", il augmente plutôt la latence en ajoutant des poignées de main SSL aux poignées de main TCP pour chaque connexion. Cela peut entraîner une baisse considérable des performances dans les situations où de nombreuses connexions sont nécessaires pour charger la page (par exemple, beaucoup d'images, etc.), surtout si vous avez désactivé les keepalives HTTP.

Avoir l'intégralité du site sur HTTPS facilite certainement le développement - l'ensemble du site sur HTTPS signifie que vos développeurs n'ont pas à se soucier des bits qui doivent être HTTP et HTTPS, et des pages qui doivent passer de l'un à l'autre, et de la composition de liens absolus à ceux etc.

Auparavant, j'ai travaillé sur des sites de commerce électronique qui utilisaient un mélange et il devient assez poilu d'essayer de passer de sécurisé / non sécurisé aux pages appropriées, en particulier si la mise en page et la navigation de votre site sont compliquées et réutilisées d'une page à l'autre ( qu'il est généralement dans la plupart des sites)

Voir paypal.com pour un exemple de quelqu'un qui a choisi de mettre tout son site HTTPS. Mais je remarque que les banques le font rarement.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.