Tüm site için HTTPS

Herkese açık içeriğe ve kayıtlı kullanıcılar için kişisel / özelleştirilmiş içeriğe sahip oldukça standart bir web sitesinde çalışıyorum. Kullanıcılar oturum açarken veya kredi kartı bilgilerini gönderirken HTTPS kullanmam gerektiğini biliyorum. Tüm site için sadece HTTPS kullanmamamın bir nedeni var mı?

Evet, sitenin tamamı için kullanmamanız için bir neden var. Bazı tarayıcılar (markaya ve sürüme bağlı olarak), HTTPS isteklerinden diske önbellek saklamaz, bu da her sayfa isteği (stil sayfaları, javascript, başlık resimleri vb.) İle statik öğeler yükleneceğinden kullanıcılar için tarama deneyimini ciddi şekilde yavaşlatabilir. . Örneğin, Mozilla şunları belirtir:

"Disk önbellekleme, indirilen dosyaların kopyalarını yeniden görüntülenmeleri gerekmeden sabit sürücüye kaydeder. Bu sayfalar önbellek klasörüne izin veren herkes tarafından görüntülenebilir. SSL şifrelemesi ile iletilen sayfalar genellikle hassas bilgiler içerir ve bu sayfaların diske önbelleğe alınması gizlilik riski oluşturabilir. Bu tercih, SSL şifrelemesi ile aktarılan disk sayfalarına önbellek kopyalanıp saklanmayacağını denetler. "

Tek tek tarayıcıların HTTPS'yi önbelleğe alma biçimi biraz tartışmalıdır, ancak yine de birçok kullanıcının HTTPS istekleri için disk önbelleğe almayı devre dışı bırakma ihtimali yüksektir.

İkincisi, HTTPS her istek için bir " el sıkışma " gerektirir ve bu, performansı etkileyecek ve istekleri daha büyük hale getirecek (genellikle yalnızca birkaç KB tarafından - ancak her istek için geçerlidir ve bu eklenir) bazı genel gider ile birlikte gelir. HTTP KeepAlive bunu sınırlayabilir, ancak yine de güvenli olmayan içerik için ihtiyaç duymadığınız bir ek yüktür.

Tam SSL çalıştırmayı planlıyorsanız, kullandığınız tüm barındırılan üçüncü taraf hizmetlerinin (reklam sunucusu, analiz, paylaşım araçları vb.) SSL sürümleri olduğundan emin olun, aksi takdirde bazı tarayıcılarda karışık içerik uyarıları alırsınız.

Başka bir sorun olduğunu her şeyin sizden hizmet herhangi sayfa sonra gerçekten üçüncü taraf kaynakları da dahil, SSL aracılığıyla gitmek gerekir. Bunun YouTube gibi bir şeyle ilgili gerçek bir sorun olduğunu gördük. Google SSL aracılığıyla YouTube videolarının kullanılabilir yapmaz olduğundan, herhangi bir YouTube video demektir yapmak sitenizdeki bir sayfada embed istediğiniz uyarı "Bu sayfa güvenli ve güvenli olmayan içerik içeren" yol açacaktır. Bu, çoğu tarayıcıda ince olsa da, IE'de büyük bir iletişim kutusudur ve bazı kullanıcıların sitenizi oldukça hızlı bir şekilde terk etmelerine ve verilerini korkuyla göğsüne tutarak neden olabilir.

Büyümeyi de düşünmelisiniz. Tek bir web sunucusundan daha fazlasına sahip olduğunuzda, aşağıdakilere karar vermeniz gerekir: Her bir sunucuda HTTPS sağlamak istiyor musunuz ve eğer öyleyse, sunucu başına genellikle önerilen sertifika veya sertifikayı kullanacak mısınız? Genelde yalnızca hassas ayrıntıların işlenmesi ve daha fazla HTTP sunucusunun işlenmesi için kullanıldığından, daha az HTTPS sunucusunun bulunduğu daha yaygın kurulumlar gördüm, çünkü bunlar trafiğin büyük kısmını alma eğilimindedir. HTTPS, kurulumlarınızın her birine biraz daha karmaşıklık katar. Sadece akılda tutulması gereken bir şey.

Gördüğüm gibi, tüm sitenizde HTTPS kullanmamanın tek nedeni, sunucunuzu yavaşlatacak ve ziyaretçilerin biraz daha yavaş bir tarama deneyimine sahip olmasıdır. Olduğu söyleniyor, faydaları var. özellikle:

1. Güvenli tutmak istediğiniz verileri sitenizin herhangi bir sayfasına koymak konusunda endişelenmenize gerek kalmayacak. Unutamazsın.
2. Kullanıcılar sitenizin tamamen şifrelendiğini fark eder ve size bilgi vermede kendilerini daha güvende hissedebilirler.
3. Kullanıcılar, web sitenizin şirketinize ait olduğunu ve devralınmadığını bilir.

Geliştiricilerinizin şifrelenmemiş bir sayfada güvenli veri gösterme konusunda endişelenmemelerini kolaylaştırmanın ötesinde , her sayfada HTTPS kullanmanın teknik bir nedeni yoktur . Aynı akıl yürütmeyle, yapmamak için çok az neden var.

son fakat en az değil, birkaç işveren emplye'lerinin "şifreli" https sitelerine göz atmasını sevmez. Bu, savunma / güvenlik şirketleri ve organizasyonları için geçerlidir, bu nedenle "sadece https" web siteniz varsa, bu ziyaretçilerin / müşterilerin bazılarını kaybedebilirsiniz, çünkü ağları sitenize göz atmalarına izin vermez.