我正在管理一个强制注册/登录/帐户/结帐页面上的HTTP的商店,但就是这样,我一直试图说服人们强迫所有人使用HTTP。
我知道建议在任何地方使用HTTP,但不确定原因。
是否有充分的理由将网站的一部分保留在HTTP上?
答案 0 :(得分:1)
一个很好的理由是页面性能对销售产生了巨大的影响(有很多已发布的研究),SSL对性能有很大的影响 - 特别是如果它没有正确调整。
但是,对于粗心的人来说,运行混合SSL和非SSL会充满陷阱......
你在SSL中放置的哪些页面对安全性也有很大的影响 - 假设你使用带有POST目标的HTTP发送一个登录表单,这是一个HTTPS - 一个微不足道的分析表明这是安全的 - 但实际上MITM可以修改登录页面以在其他地方发送帖子或注入一些ajax将请求分叉到另一个位置。
此外,使用混合HTTP和HTTPS,您会遇到安全转移会话的问题 - 用户在SSL网站外填写会话链接的购物篮,然后在SSL网站内支付费用 - 如何防止会话固定问题在过渡期?
因此,我建议你运行一个混合网站,如果你有非常专业的HTTP技能 - 并且因为你在这里问这个问题,这意味着你没有。< / p>
折衷解决方案是使用SPDY。 SPDY需要SSL,但大多数站点(尤其是那些未经过大量性能优化的站点)要快得多。目前它不受MSIE的支持 - 并且(我上次检查)默认情况下在Firefox中没有启用。但它可能很快就构成了HTTP / 2.0的很大一部分。
通过HTTPS使用(好)CDN还可以减轻SSL的大部分性能影响。
答案 1 :(得分:-1)
确实没有必要在整个网站上使用HTTPS。使用HTTPS将导致服务器消耗更多资源,因为它必须做额外的工作来加密和解密连接,更不用说协商算法中的额外步骤/握手等。
如果您的网站流量很大,那么效果可能非常大。
这也意味着响应时间慢,然后在HTTP上使用plain。
您应该只在您确实需要保护的网站部分上使用HTTPS,例如用户何时向您的网站发送重要信息,填写表单,登录,网站的私有部分等。
另一个问题可能是,如果您使用来自无安全URL的资源,可能是其他地方托管的图像/脚本。如果它们无法通过HTTPS使用,那么访问者将收到有关不安全连接的警告。
您还需要意识到HTTPS数据/页面几乎不会被缓存。这也会增加性能损失。