Хорошая практика или плохая практика заставить весь сайт HTTPS?

Question

У меня есть сайт, который работает очень хорошо, когда все в HTTPS (аутентификация, веб-службы и т. Д.). Если я использую http и https, это требует большего количества кодировок (проблемы с перекрестными доменами).

Я, кажется, не вижу много веб-сайтов, которые полностью находятся в HTTPS, поэтому мне было интересно, было ли это плохой идеей?

Edit: Сайт должен быть размещен на Azure облако, где полоса пропускания и использование процессора может быть проблемой ...

Answer 1

Если у вас нет побочных эффектов, тогда вы, вероятно, все в порядке и можете быть счастливы не создавать работу там, где она не нужна.

Однако нет оснований для шифрования всего трафика. Разумеется, учетные данные для входа или другие конфиденциальные данные. Одной из главных вещей, которые вы бы проиграли, является кэширование ниже по течению. Ваши серверы, промежуточные интернет-провайдеры и пользователи не могут кэшировать https. Это может быть не совсем уместным, поскольку оно гласит, что вы предоставляете только услуги. Тем не менее, это полностью зависит от вашей настройки и есть ли возможность кэширования, и если производительность является проблемой вообще.

Answer 2

HTTPS уменьшает сервер пропускной это может быть плохой идеей, если ваше оборудование не может справиться с этим. Вы можете найти this post useful. В этой статье (академической) также обсуждается the overhead of HTTPS.

Answer 3

вы теряете много возможностей с HTTPS (главным образом связанные с исполнением)

• Доверенные не страницы кэша
• Вы не можете использовать обратный прокси-сервер для повышения производительности
• Вы не можете размещать несколько доменов на тот же адрес
• Очевидно, что шифрование не потребляет ЦП

Может быть, это не проблема для вас, хотя это действительно зависит от требований.

Answer 4

Если у вас есть HTTP-запросы, поступающие с HTTPS-страницы, вы заставите пользователя подтвердить загрузку небезопасных данных. Раздражает некоторые сайты, которые я использую.

Answer 5

Я ненавижу работать в бессмысленные сайты all-https, которые не обрабатывают ничего, что действительно требует шифрования. В основном потому, что все они кажутся в 10 раз медленнее, чем каждый другой сайт, который я посещаю. Как и большинство страниц документации на developer.mozilla.org, вы заставите вас просматривать его с помощью https, без каких-либо оснований, и на загрузку всегда требуется много времени.

Answer 6

Рекомендуется использовать все HTTPS - или, по крайней мере, предоставить знающим пользователям возможность для всех HTTPS.

Если есть определенные случаи, когда HTTPS абсолютно бесполезен, и в тех случаях вы обнаружите, что производительность ухудшилась, только тогда вы по умолчанию или разрешите использование без HTTPS.