it-swarm-tr.com

Site genelinde SSL (https) 'nin artıları ve eksileri nelerdir?

Yalnızca giriş sayfasında SSL yerine sitenin tamamı için tüm HTTP trafiğini SSL ile şifrelemenin avantajları ve dezavantajları nelerdir?

80
Olivier Lalonde

Buradaki diğer yanıtların çoğu site genelindeki SSL'nin olumsuz yönleriyle (özellikle performans sorunları - btw, SSL sonlandırmasının bir SSL proxy kutusuna veya bir SSL kartına boşaltılmasıyla kolayca hafifletilebileceğinden), SSL üzerinden yalnızca giriş sayfasına sahip olmak ve ardından SSL olmayan bir hesaba geçmekle ilgili bazı sorunlar:

  • Sitenin geri kalanı güvenli değildir (bu açık olsa da, bazen odak sadece kullanıcının şifresine çok fazladır).
  • Kullanıcının oturum kimliği açık bir şekilde iletilmeli, ele geçirilmesine ve kullanılmasına izin verilmeli ve böylece kötü kişilerin kullanıcılarınızı taklit etmesine olanak sağlanmalıdır. (Bu çoğunlukla Firesheep hubbub'la ilgilidir).
  • Önceki nokta nedeniyle, oturum çerezleriniz secure özniteliğiyle işaretlenemez; bu, ek yollardan alınabileceği anlamına gelir.
  • Yalnızca oturum açma SSL'si olan siteler gördüm ve elbette bu Şifremi Unuttum sayfasını, Şifreyi değiştir sayfasını ve hatta Kayıt sayfasını eklemeyi ihmal ettim ...
  • SSL'den SSL olmayanlara geçiş genellikle karmaşıktır, web sunucunuzda karmaşık yapılandırma gerektirebilir ve çoğu durumda kullanıcılarınız için korkunç bir mesaj açılır.
  • SADECE giriş sayfasıysa ve örneğin. sitelerinizin ana sayfasından giriş sayfasına bir bağlantı var - birisinin ana sayfanızı taklit etmeyeceği/değiştirmeyeceği/araya girmeyeceğini ve farklı bir giriş sayfasına yönlendirdiğini garanti etmek için ne yapmalısınız?
  • Ardından, giriş sayfasının kendisinin SSL olmadığı, ancak yalnızca [~ # ~] gönder [~ # ~] şifrenin gönderildiği tek zaman, bu güvenli olmalı, değil mi? Ancak gerçekte kullanıcıdan parolanın çok geç olana kadar doğru siteye gönderilmesini sağlama yeteneğini ortadan kaldırır. (Örneğin Bank of America ve diğerleri).
61
AviD

Önemli bir "con" olarak artan "sunucu ek yükü" yaygın bir efsanedir. Google mühendisleri not edildi , gmail'i% 100 SSL'ye geçirirken ek donanım dağıtmadıklarını ve SSL'nin CPU yükünde% 1'den az ve ağ trafiğinde% 2'den az olduğunu açıkladı. Stack Overflow'ın bununla ilgili birkaç sorusu da vardır: SSL ne kadar ek yük getirir? ve HTTP ve HTTPS performansı .

47
user502

Zscaler blog girişinden Web neden henüz sadece SSL'ye geçmedi?

"Firesheep tarafından bir kez daha vurgulanan oturum yanıtı sorunuyla, birçok kişi bana neden daha fazla web sitesinin veya en azından büyük oyuncuların (Google, Facebook, Amazon, vb.) Tüm iletişim için varsayılan olarak SSL'yi etkinleştirmediğini sordu. , şifreleme, kullanıcı oturumlarının açık bir kablosuz ağda kolayca koklanmamasını sağlamanın tek yoludur.

Bu kolay geliyor - URL'ye http'den sonra bir s ekleyin! Aslında o kadar kolay değil. İşte bazı zorluklar. "

Zorlukların özeti (eksileri):

  • "sunucu ek yükü"
  • "gecikme süresi arttı"
  • "CDN'ler için mücadele"
  • "joker karakter sertifikaları yeterli değil"
  • "karma HTTP/HTTPS: tavuk ve Yumurta sorunu"
  • "uyarılar korkutucu!"
25
Tate Hansen

Ars Technica'nın SSL site çapında dağıtımındaki bazı zorlukları açıklayan mükemmel bir makale vardır.

Büyük bir reklam: çoğu reklam ağı SSL üzerinden reklam sunmanın bir yolunu sunmaz. Ayrıca, reklamları (HTTP üzerinden yayınlanır) HTTPS üzerinden yayınlanan bir ana sayfaya yerleştirirseniz, tarayıcılar kullanıcılarınızı tabi tutmak istemediğiniz korkunç karışık içerik uyarıları yayınlar. Bu nedenle, reklam destekli siteler, site genelinde SSL'ye geçişi çok zor bulacaktır.

Makale ayrıca üçüncü taraf widget'ları, analizleri, gömülü videoları vb.Gibi diğer zorlukları da özetlemektedir.

19
D.W.

Tamam, bu eski bir soru, Bu yüzden cevabım muhtemelen en altta buruşacak. Ancak, 'eksilerini' tarafına eklemek için bir şey var.

HTTPS Gecikmesi:

İstemciden sunucuya HTTP gecikmesinin olması hızlı yüklenen, duyarlı web siteleri yapmak için çok önemlidir. Ve hızlı sayfa yükleme süreleri son kullanıcının mutluluğunu artırır .

TCP/IP tek başına ünlü TCP 3 yönlü el sıkışmasına sahiptir, yani TCP üzerinden düz HTTP için ilk bağlantı kurulumu 3 paket gerektirir. SSL/TLS kullanıldığında, bağlantı kurulumu daha karmaşıktır, yani yeni HTTPS bağlantıları için gecikme kaçınılmaz olarak daha yüksektir düz metin HTTP'den.

Bunun etkisinin HTTPS bağlantısı tekrar tekrar kullanılarak, yani kalıcı bağlantılar kullanılarak ve diğer SSL Yanlış Başlatma gibi performans optimizasyonları ile azaltılabileceğini (ancak ortadan kaldırılamayacağını) unutmayın.

HTTPS'nin sayfa yüklemelerini ne kadar yavaşlattığını tam olarak modellemek karmaşıktır, çünkü tüm modern tarayıcılar HTTP nesnelerini paralel olarak indirin mümkün olduğunda. Yine de, daha yüksek ilk bağlantı kurulum süresi mevcut teknoloji ile hem önemli hem de kaçınılmazdır; bu nedenle artan yeni bağlantı gecikmesi önemli bir husustur.

15
Jesper M

Yukarıdaki diğer cevaplarda kaçırılan bir dezavantaj, içerik dağıtım ağlarına (ör. Akamai) bu günlerde büyük bir güven duyulmasıdır - mevcut kullanımdaki birçok web sayfası çeşitli alanlardan içerik alır, böylece tarayıcının her biri için certs olması gerekir veya uyarılar açılır. Ve elbette, saldırgan tarayıcının zaten sahip olduğu bir CDN platformu kullandıysa, gerektiğinde bir uyarı alamayabilir.

Uygulamaların ve içeriğin şu anda teslim edilme şeklindeki zor sorun.

12
Rory Alsop

Artıları kesinlikle artırılmış güvenlik. Eksileri nispeten daha yavaş bağlantılar, daha yoğun CPU kullanımı, doğru sertifika yönetimi gerekli, sertifika için bazı maliyetler olabilir (kendinden imzalı sertifikalar kullanmıyorsanız). Ancak son zamanlarda https kullanmak için yaygın bir uygulama var ve bu eksiler son kullanıcılar için fayda ve hizmet sunan bir şirkete artan güven nedeniyle arka plana geliyor.

7
anonymous

Diğer yanıtlar, HTTP-> HTTPS geçişini zorlaştıran karışık içerik uyarıları nedeniyle bir "tavuk/Yumurta sorunu" olduğunu ileri sürdü. Bu bir mesele, ama onların ortaya çıkardıkları kadar zor olduğunu düşünmüyorum.

Karışık içerik protokole bağlı URL'ler ve XSS sorunlarını bulmak için kullanmanız gereken tarayıcılar kullanılarak ele alınabilir.

RFC 3986 bölüm 4.2 ağ yolu başvurusu terimini kullanır:

İki eğik çizgi karakteriyle başlayan göreli bir referansa ağ yolu başvurusu denir

İlk önce http://example.com/ aynı Kökenli bağlantılarda, resimlerde ve diğer site varlıklarında değiştirin ve bunları protokole bağlı URL'lerle değiştirin (//example.com/...). Bu, bir sayfayı HTTP veya HTTPS üzerinden sunup sunmamanıza bakılmaksızın aynı HTML'nin sunulmasını sağlar ve taşıma işleminizde daha sonra bir şeyler ters giderse sizi geri almak için çok daha iyi bir konuma getirir.

Ardından, kontrolünüz dışındaki sitelerdeki mevcut URL'lerin çalışmaya devam etmesi ve HTTPS üzerinden sunulmaya başlaması için kalıcı HTTP-> HTTPS yönlendirmeleri ayarlayın. Agresif önbellek başlıklarına sahip kalıcı bir yönlendirme kullanmak, arama motorlarının sayfa sıralamasını aktarmasına ve siteyi geri gelen ziyaretçiler için hızlandırmasına yardımcı olur.

Elbette, regresyonları yakalamak için tarayıcılarınızı karışık içerik aramaya devam etmelisiniz.

5
Mike Samuel

Bu eski bir soru/iplik olduğunu biliyorum, ama sadece yan taraf SSL yapmak için büyük bir PRO işaret etmek istedim.

SPDY

Apache'de mod_spdy kullanmak SSL gerektirir.

SPDY'yi henüz dağıtmadım, hallet! Hem Chrome ve Firefox, Opera'nın yanı sıra protokolü de desteklemektedir.

Bu, SPDY'den yararlanabilecek kullanıcılarınızın yaklaşık yarısıdır.

4
Spock

Diğer dezavantajlar (başkaları tarafından dokunulan), hızı açıkça etkileyecek önbellek eksikliğidir. Ayrıca, bazı sunucu değişkenleri mevcut değildir - sanırım HTTP_FORWARDED_FOR gibi.

3
Nev Stokes

Burada belirtilen tüm iyi nokta, ancak, con maliyet mis! Ve maliyetle sadece sertifikayı satın almak değil, web sunucusunun CPU yükünü azaltmak için sertifikaları, iptalleri, özel kripto modüllerini yönetmek için uygun altyapıya sahip olmak demek istemiyorum.

3
Henri

Tüm siteyi şifreli tutmanın faydaları:

  • gizlilikle ilgili ziyaretçilerinizi giriş yaptıktan sonra düz metin göndererek sinirlendirmezsiniz.
  • sitenin http ve https bölümleri arasında yönlendirme/bağlantı oluşturma sırasında daha az hata riski.

Con:?

Google ve diğerlerinin referanslarını okuyun. % 100 https'ye gitmek pahalıya mal olmak zorunda değil.

3
MattBianco

Bir web sitesi, teknik olmayan bir kullanıcının sayfaları düzenlemek için kullanabileceği bir CMS tarafından yönetiliyorsa, HTML üzerinden resimler gibi site dışı kaynaklara referanslar eklemek için HTML'yi düzenleyebilir. Yalnızca gerektiğinde SSL kullanan ve diğer sayfaları tekrar HTTP'ye yönlendiren bir alışveriş sitesi oluşturdum, aksi takdirde sahibinin siteye yapıştığı tüm site dışı resimler nedeniyle karışık içerik uyarıları alırsınız.

2
TRiG