Recommandation: le site Web de l'entreprise contraint à https?

Mon entreprise souhaite que son site Web "informatif" soit réécrit de HTTP en HTTPS. Techniquement, ce n'est pas un gros problème pour moi. Mais je doute que ce soit à la pointe de la technologie, car la seule raison pour laquelle ils le souhaitent est de crypter les formulaires de contact et d'inscription. (Je pourrais activer HTTPS pour le site avec des formulaires, cependant, ils n'aiment pas cette approche.)

Quels sont les inconvénients et les ralentissements d'avoir un site Web d'entreprise HTTPS uniquement? Quelle est votre expérience et votre recommandation?

Les applications Web s'exécutent sur une autre URL et sont cryptées.

Cordialement

Nous gérons quelques-uns de nos sites Web sur HTTPS uniquement, à la demande des administrateurs de l'entreprise qui souhaitaient diffuser un message "Nous prenons votre confidentialité très au sérieux", et en plus de la nécessité d'une adresse IP dédiée pour chaque site, nous avons jamais remarqué de vidange sur nos serveurs.

Ce sont tous des sites à faible trafic, peut-être 1 000 à 5 000 visites par jour, principalement des visiteurs de retour.

Avec HTTPS, vous pouvez également perdre:

• Mise en cache côté client (la mise en cache HTTPS est généralement considérée comme un non-non, mais si vous spécifiez explicitement un en- expirestête, certains navigateurs la mettent toujours en cache)
• Temps de chargement rapides pour les utilisateurs d'accès à distance / à latence élevée (la prise de contact HTTPS est négligeable pour le haut débit, mais tout à fait notable pour les accès à distance ou les personnes en Thaïlande)

Si ces choses ne vous inquiètent pas (elles ne le sont pas pour nos utilisateurs ou nos entreprises), alors je dis allez-y - inutile de discuter!

Si le site Web est accessible à tout le monde de toute façon, il n'y a pas vraiment d'intérêt en HTTPS à part l'activer pour les formulaires, car tout le monde peut lire la page de toute façon. D'un autre côté, l'impact HTTPS sur le serveur est vraiment faible, surtout si vous exécutez une page dynamique de toute façon, ce qui rendra l'impact HTTPS vraiment imperceptible. Ma recommandation serait simplement de l'activer sur le serveur Web, car il n'y a vraiment rien à réécrire, si jamais vous vous trouvez dans une situation où votre serveur va avoir besoin de ces petites performances qui sont supprimées par HTTPS, vous pouvez le désactiver, mais vous ne résoudrez probablement pas vos problèmes de performances en le faisant, le cas échéant.

Donc, en bref, évitez les tracas de vous battre contre quelque chose comme ça et allumez-le;)

HTTPS est un peu plus lent et un peu plus gourmand en processeur.

HTTP peut être lu par n'importe quel schmuck avec un renifleur de paquets.

Avantages de l'utilisation de SSL:

• Les informations sensibles ne sont pas envoyées en clair

Inconvénients de l'utilisation de SSL:

• Les certificats et les processus de renouvellement coûtent du temps et de l'argent.
• Si vous gâchez le certificat, vous allez avoir l'air idiot d'une manière très publique.
• L'utilisation du processeur augmente, ce qui ralentit la charge de votre site Web. Mesurez la différence.
• Les navigateurs ne mettent pas en cache les objets récupérés via https, donc votre utilisation de la bande passante augmentera et les visiteurs verront votre site comme plus lent, car chaque objet est récupéré sur le réseau. Estimez l'utilisation accrue de la bande passante en fonction de l'utilisation actuelle du trafic.

N'utilisez pas mod_rewrite pour cela. Utilisez les redirections http 301 ou 302.

Vous devrez vous rappeler d'acheter et de renouveler des certificats SSL auprès d'un fournisseur de certificats racine reconnu mondialement. Si vous oubliez de renouveler, votre site entier affiche un message d'erreur.

Crypter uniquement la soumission du formulaire protège contre l'espionnage occasionnel, mais un homme au milieu réécrirait simplement la soumission du formulaire pour accéder à une URL http simple. Si les formulaires sont importants, la page de soumission du formulaire doit également être https et les utilisateurs du formulaire doivent recevoir une courte URL https pour taper et mettre en signet. Si l'ensemble de votre site redirige vers des pages https, vous serez indexé dans https et les utilisateurs n'auront plus besoin de taper.

Il s'agit de savoir contre quel modèle de menace vous voulez vous défendre, au prix de certificats et d'un peu de CPU.

Je trouve intéressant que presque tous les sites que je visite utilisent HTTPS où la sécurité est requise et HTTP ailleurs. Je pense que c'est à cause des frais généraux imposés par HTTPS, comme d'autres l'ont déjà mentionné.

Voir ma réponse sur une question. Alors que cette question d'origine concernait JBoss et AJP, la réponse comprenait un ensemble de règles mod_rewrite qui redirige le trafic non HTTPS vers HTTPS.

HTTPS ralentira votre site Web, mais pas pour les raisons suggérées par d'autres. Il ne va pas "aspirer votre CPU", il augmente plutôt la latence en ajoutant des poignées de main SSL aux poignées de main TCP pour chaque connexion. Cela peut entraîner une baisse considérable des performances dans les situations où de nombreuses connexions sont nécessaires pour charger la page (par exemple, beaucoup d'images, etc.), surtout si vous avez désactivé les keepalives HTTP.

Avoir l'intégralité du site sur HTTPS facilite certainement le développement - l'ensemble du site sur HTTPS signifie que vos développeurs n'ont pas à se soucier des bits qui doivent être HTTP et HTTPS, et des pages qui doivent passer de l'un à l'autre, et de la composition de liens absolus à ceux etc.

Auparavant, j'ai travaillé sur des sites de commerce électronique qui utilisaient un mélange et il devient assez poilu d'essayer de passer de sécurisé / non sécurisé aux pages appropriées, en particulier si la mise en page et la navigation de votre site sont compliquées et réutilisées d'une page à l'autre ( qu'il est généralement dans la plupart des sites)

Voir paypal.com pour un exemple de quelqu'un qui a choisi de mettre tout son site HTTPS. Mais je remarque que les banques le font rarement.