强制整个网站使用HTTPS的良好做法或不良做法?
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了强制整个网站使用HTTPS的良好做法或不良做法?相关的知识,希望对你有一定的参考价值。
当一切都在HTTPS(身份验证,Web服务等)时,我有一个非常好的站点。如果我混合使用http和https,则需要更多编码(跨域问题)。
我似乎没有看到很多完全使用HTTPS的网站,所以我想知道这样做是不是一个坏主意?
编辑:网站将托管在Azure云上,其中带宽和CPU使用率可能是个问题...
编辑10年后:正确的答案现在只使用https。
这个问题,特别是答案都是过时的。此问题应标记为:<meta name="robots" content="noindex">
,以便它不再出现在搜索结果中。
为了使这个答案相关:
- 当谷歌未能使用TLS / https时,谷歌正在惩罚网站搜索排名。你也会因重复内容的排名而受到惩罚,所以要小心将一个页面作为http或https但不要同时服务(或使用准确的标准标签!)
- 谷歌也在积极地表明不安全的连接,这会对可怕的用户造成的转换产生负面影响。
- 这是为了追求仅限TLS的网络/互联网,这是一件好事。 TLS不仅仅是保护您的密码安全 - 而是让您的整个面向世界的环境保持安全和真实。
- “性能损失”神话实际上只是基于过时的过时技术。 This is a comparison显示TLS比HTTP更快(但应注意页面也是加密HTTP / 2 HTTPS与纯文本HTTP / 1.1的比较)。
- 如果您还没有证书,使用LetsEncrypt可以轻松自由地实施。
- 如果你有证书,那么在舱口盖上,并在任何地方使用HTTPS。
TL; DR,这里在2019年是理想的在站点范围内使用TLS,并且建议也使用HTTP / 2。
</soapbox>
你失去了许多https功能(主要与性能有关)
- 代理无法缓存页面
- 您不能使用反向代理来提高性能
- 您无法在同一IP地址上托管多个域
- 显然,加密会消耗CPU
也许这对你来说没问题,但这取决于要求
HTTPS会降低服务器吞吐量,因此如果您的硬件无法应对,则可能不是一个好主意。你可能会发现this post useful。本文(学术界)也讨论了the overhead of HTTPS。
如果您有来自HTTPS页面的HTTP请求,您将强制用户确认加载不安全的数据。在我使用的一些网站上烦人。
如果你没有任何副作用,那么你现在可能还可以,并且可能很乐意不在不需要的地方创作。
但是,没有理由加密所有流量。当然登录凭据或其他敏感数据。您将失去的主要内容之一是下游缓存。您的服务器,中间ISP和用户无法缓存https。这可能不完全相关,因为它表明您只提供服务。但是,它完全取决于您的设置以及是否有机会进行缓存以及性能是否是一个问题。
最好使用全HTTPS - 或者至少为知识渊博的用户提供全HTTPS的选项。
如果在某些情况下HTTPS完全无用,并且在这些情况下您发现性能下降,那么您才会默认或允许非HTTPS。
我讨厌遇到无意义的所有https网站,这些网站无需处理任何真正需要加密的网站。主要是因为它们似乎比我访问的每个其他网站慢10倍。与developer.mozilla.org上的大多数文档页面一样,将强制您使用https查看它,无论如何,加载总是需要很长时间。
以上是关于强制整个网站使用HTTPS的良好做法或不良做法?的主要内容,如果未能解决你的问题,请参考以下文章