SSL em todo o site ou apenas parte dele?

9

Eu tenho um site ... vamos chamá-lo mysite.com. Neste site, há a seção de inscrição que eu acho que deveria ser a parte segura deste site.

a) Devo ativar o ssl em todo o site ou apenas na parte de inscrição (por exemplo, signup.mysite.com) b) Quais são os prós e contras de habilitá-lo para todo o site?

    
por coderama 31.07.2009 в 11:48

3 respostas

6

Depende do que seu site serve. Se os dados veiculados forem confidenciais, fornecer uma conexão criptografada SSL completa é um bônus.

Mas, como outros já mencionaram, você vai comer a sua largura de banda. Dados criptografados por SSL, seja imagens, páginas HTML ou outras informações não são (supostamente) armazenadas em cache no cliente, portanto toda vez que o usuário reinicia o navegador, os arquivos são baixados novamente.

Eu concordaria com o Vinay, forneceria signon / signup através de SSL e depois voltaria ao HTTP normal, e então veria.

A outra abordagem pode ser fornecer todo o seu conteúdo estático sobre HTTP enquanto todo o conteúdo confidencial via HTTPS (por exemplo, se você usar sistemas como ExtJS, as páginas são arquivos estáticos e todos os dados são recuperados via AJAX).

É claro que, se você estiver veiculando informações confidenciais (por exemplo, informações bancárias) em que os dados em si são sempre confidenciais, atinja o SSL completo e consuma os custos.

    
por Jamie Love 31.07.2009 / 12:02
5

Usar totalmente SSL não aumentará necessariamente suas contas de largura de banda. A criptografia não aumenta os dados. Certifique-se de ativar também a deflação da compactação.

Quando o SSL pode aumentar sua conta de largura de banda, alguns navegadores (firefox) não armazenam em cache as páginas recuperadas por SSL no disco. Isso significa que na próxima vez em que um usuário visitar seu site depois de sair do navegador, ele fará o download de cada parte do conteúdo novamente.

Se você optar por garantir a privacidade do usuário, certifique-se de que os cookies enviados pelo site tenham o sinalizador "enviar somente SSL" definido, caso contrário, os usuários poderão ser induzidos a fornecer esse cookie claramente com um phishing muito simples.

SSL também significa pagar por um certificado assinado por uma autoridade de certificação significativa, que, em alguns casos, custará mais do que sua largura de marca.

    
por IanNorton 31.07.2009 / 12:39
3

O profissional é maior segurança e privacidade para todas as páginas do seu site, e o lado negativo é menor desempenho por causa da necessidade de criptografar / descriptografar o tráfego em ambas as extremidades da conexão.

Para alguns sites públicos de alto perfil, como o GMail, que usava SSL apenas para entrar, houve uma pressão crescente para que todas as páginas usassem o SSL.

Eu diria, tente e veja se o desempenho é um problema. Se não, bem e bem; caso contrário, você sempre poderá usar o SSL apenas para entrar.

    
por Vinay Sajip 31.07.2009 / 11:57