将网站设置为完整https的含义

时间:2012-10-23 22:41:21

标签: asp.net performance security https asp.net-mvc-4

我目前正在为电子商务开发MVC4网络应用程序。该网站将包含一个登录,用户可以访问该网站,输入他们的详细信息和提交订单等。这是一个传统的电子商务网站。

为了提高网站的安全性,我希望以https设置整个网站。由于用户将提供他们的登录凭证并将个人信息存储在cookie中,我希望该网站完全安全。

我担心,如果我用https设置网站,这会不会影响性能?它会对搜索引擎优化产生负面影响吗?在https中使用整个网站还有其他影响吗?

我使用输出缓存来缓存我的观看内容 - 使用https还会缓存这些内容吗?

我一直在审核安全指南和文档,例如来自OWASP的this,他们建议这样做。此外,我发现Twitter等网站完全是https。

1 个答案:

答案 0 :(得分:1)

一般来说,没有 - 全站点加密不是性能问题。

(只需确保在您的服务器上禁用SSL 2.0,因为它容易受到BEAST攻击;您应该使用自2000年以来几乎所有浏览器都支持的TLS 1.0或SSL3.0。)

几年前,性能问题是一个问题,但现在不再存在。现代服务器有能力每秒处理数百个请求和响应的加密。

您尚未提及部署负载均衡器或故障转移系统,这意味着您的网站每秒都不会受到数千次网页浏览的影响。那时你需要开始使用SSL卸载程序 - 但你现在还可以。

输出缓存不受加密影响 - 只需确保您没有将一个人的输出提供给另一个人(即在Session中缓存购物车或银行详细信息或使用{{1}中的会话ID } key。。