Tôi có một trang web ... hãy gọi nó là mysite.com. Trên trang web này, có phần đăng ký mà tôi nghĩ là phần an toàn của trang web này.SSL trên toàn bộ trang web hoặc chỉ một phần của trang web?
a) Tôi có nên bật ssl trên toàn bộ trang web hay chỉ phần đăng ký (ví dụ: signup.mysite.com) b) Ưu điểm và nhược điểm của việc bật tính năng này cho toàn bộ trang web là gì?
Buộc toàn bộ trang web sử dụng SSL sẽ ăn băng thông của bạn vì tất cả nội dung được mã hóa, kể cả hình ảnh. Vui lòng kiểm tra apache ssl faq để biết thêm thông tin
Chuyên gia tăng tính bảo mật và quyền riêng tư cho tất cả các trang trên trang web của bạn và hiệu suất thấp hơn do nhu cầu mã hóa/giải mã lưu lượng ở cả hai đầu của kết nối.
Đối với một số trang web công khai cao như GMail, chỉ sử dụng SSL cho đăng nhập, đã có áp lực gắn kết để làm cho tất cả các trang sử dụng SSL.
Tôi sẽ nói, hãy thử và xem hiệu suất có phải là vấn đề hay không. Nếu không, tốt và tốt; nếu không bạn luôn có thể quay lại SSL chỉ để đăng nhập.
Những gì bạn nói về GMail không hoàn toàn đúng. Nó sẽ chuyển bạn sang ssl để đăng nhập nếu bạn gọi trang đăng nhập bằng http bình thường. Nếu bạn gọi trang đăng nhập bằng ssl (sử dụng https :) phần còn lại của phiên của bạn sẽ được thực hiện trong ssl. Nó đã được theo cách này trong một thời gian. – Pinochle
Cảm ơn, tôi không biết điều đó. –
Tùy thuộc vào những gì trang web của bạn phục vụ. Nếu dữ liệu mà nó phân phối là nhạy cảm, thì việc cung cấp kết nối được mã hóa SSL đầy đủ là phần thưởng.
Nhưng, như những người khác đã đề cập, bạn sẽ ăn băng thông của mình. Dữ liệu được mã hóa SSL, có thể là hình ảnh, trang HTML hoặc thông tin khác không được lưu trữ trên máy khách, vì vậy mỗi khi người dùng khởi động lại trình duyệt, các tệp được tải xuống lại.
Tôi đồng ý với Vinay, cung cấp đăng nhập/đăng ký qua SSL và sau đó quay trở lại HTTP bình thường, sau đó xem.
Cách tiếp cận khác có thể là cung cấp tất cả nội dung tĩnh qua HTTP trong khi tất cả nội dung nhạy cảm qua HTTPS (ví dụ: nếu bạn sử dụng hệ thống như ExtJS thì các trang là tệp tĩnh và dữ liệu được truy xuất qua AJAX).
Tất nhiên, nếu bạn đang cung cấp thông tin nhạy cảm (ví dụ: thông tin ngân hàng), nơi dữ liệu luôn nhạy cảm, sau đó chuyển toàn bộ SSL và chi phí.
Nếu nội dung tĩnh được cung cấp bởi, giả sử mạng phân phối nội dung, điều này sẽ không hiển thị cảnh báo 'nội dung không an toàn'? –
Theo như tôi biết, có nó sẽ. –
"cung cấp đăng nhập/đăng ký qua SSL và sau đó quay trở lại HTTP bình thường, sau đó xem". Làm thế nào để bạn hình dung điều này để làm việc với các cookie an toàn? Hoặc làm thế nào để bạn giảm thiểu rò rỉ thông tin nhạy cảm khi trộn ssl với lưu lượng không ssl. – PeeHaa
Sử dụng SSL hoàn toàn sẽ không nhất thiết phải tăng hóa đơn băng thông của bạn. Mã hóa không làm cho dữ liệu lớn hơn. Hãy chắc chắn rằng bạn kích hoạt tính năng nén Deflate.
Trường hợp SSL có thể tăng hóa đơn băng thông của bạn là một số trình duyệt (firefox) không lưu các trang bộ nhớ cache được truy xuất qua SSL vào đĩa. Điều này có nghĩa là lần sau khi người dùng truy cập vào trang web của bạn sau khi thoát khỏi trình duyệt của họ, họ sẽ tải xuống lại từng phần nội dung một lần nữa.
Nếu bạn chọn đảm bảo quyền riêng tư của người dùng, hãy đảm bảo rằng mọi cookie mà trang web của bạn gửi đều có cờ 'chỉ gửi qua SSL' nếu không người dùng có thể bị lừa đưa ra cookie rõ ràng với một số lừa đảo rất đơn giản.
SSL cũng có nghĩa là thanh toán cho một chứng chỉ được ký bởi một CA có ý nghĩa, trong một số trường hợp sẽ có chi phí nhiều hơn so với băng thông của bạn.
[Tất cả các trình duyệt đều làm nội dung gửi SSL cache.] (Http://stackoverflow.com/q/174348/201952) – josh3736
Thực tế, mức độ ảnh hưởng của băng thông đến mức nào. Giả sử trang web có khoảng 100 - 200 lần truy cập duy nhất mỗi ngày. Điều đó có nghĩa là nó sẽ giảm đáng kể về tốc độ và sử dụng băng thông nhanh hơn nhiều? – coderama
Bạn nói đúng. Nhưng làm thế nào về bộ nhớ đệm sau đó? – piotrsz
Caching trong trình duyệt không (hoặc không nên) hoạt động trên SSL. –