it-swarm-eu.dev

Jaké jsou výhody a nevýhody SSL pro celý web (https)?

Jaké jsou výhody a nevýhody šifrování veškerého provozu HTTP pro celý web pomocí SSL, na rozdíl od SSL pouze na přihlašovací stránce?

80
Olivier Lalonde

Vzhledem k tomu, že většina ostatních odpovědí se zabývá nevýhodami SSL na celém webu (zejména problémy s výkonem - btw je lze snadno zmírnit vyložením ukončení SSL, buď do pole proxy proxy SSL nebo na kartu SSL), poukážu na to některé problémy s pouze přihlašovací stránkou přes SSL a přepnutím na jiné než SSL:

  • Zbytek webu není zabezpečený (ačkoli je to zřejmé, někdy je důraz kladen jen na heslo uživatele).
  • ID relace uživatele musí být vysíláno jasně, aby bylo možné zachytit a použít, a tím umožnit padouchům předstírat své uživatele. (Toto je většinou to, o čem to byl Firesheep hubbub).
  • Kvůli předchozímu bodu nelze soubory cookie relace označit atributem secure, což znamená, že je lze získat dalšími způsoby.
  • Viděl jsem weby s SSL pouze pro přihlášení a samozřejmě jsem zanedbával zahrnutí stránky Zapomenuté heslo, stránky Změnit heslo a dokonce i stránky Registrace ...
  • Přechod z SSL na non-SSL je často komplikovaný, může vyžadovat komplexní konfiguraci vašeho webového serveru a v mnoha případech vám vyskočí děsivá zpráva pro vaše uživatele.
  • Pokud je to POUZE přihlašovací stránka a f.e. existuje odkaz na přihlašovací stránku z domovské stránky vašich stránek - co je zárukou toho, že někdo nebude spoofovat/upravovat/zachycovat vaši domovskou stránku, a směřovat na jinou přihlašovací stránku?
  • Pak nastane případ, kdy samotná přihlašovací stránka není SSL, ale pouze [~ # ~] odeslat [~ # ~] je - protože to je jediné heslo je zasláno, takže by to mělo být bezpečné, že? Ale ve skutečnosti to vylučuje od uživatele schopnost předem zajistit, aby bylo heslo zasláno na správný web, až bude příliš pozdě. (Např. Bank of America a mnoho dalších).
61
AviD

„Serverová režie“ roste jako významný „kon“ je běžný mýtus. Inženýři společnosti Google poznamenali , že při přechodu na gmail na 100% SSL nasadili žádný další hardware a že SSL představovalo méně než 1% zvýšení zatížení procesoru a 2% síťového provozu. Stack Overflow má také několik otázek, které se touto otázkou zabývají: Kolik režie SSL ukládá? a HTTP vs. výkon HTTPS .

47
user502

Z položky blogu zscaler Proč se web dosud nepřepnul pouze na SSL?

„S problémem relace sidejacking, který ještě jednou zvýraznil Firesheep, se mě mnoho lidí zeptalo, proč více webů nebo alespoň hlavní hráči (Google, Facebook, Amazon atd.) Ve výchozím nastavení nepovolují SSL pro veškerou komunikaci. , šifrování je jediný způsob, jak zajistit, aby uživatelské relace nemohly být snadno otevřeny v otevřené bezdrátové síti.

Zní to jednoduše - stačí přidat URL za http do URL! Ve skutečnosti to není tak snadné. Zde jsou některé z výzev. “

Shrnutí výzev (nevýhod):

  • "režie serveru"
  • „zvýšená latence“
  • „výzva pro CDN“
  • "zástupné certifikáty nestačí"
  • "smíšený HTTP/HTTPS: problém s kuřecím masem a vejcem"
  • „Varování jsou děsivá!“
25
Tate Hansen

Ars Technica má vynikající článek vysvětlující některé z výzev při nasazení SSL na celém webu.

Jeden velký: většina reklamních sítí neposkytuje žádný způsob, jak zobrazovat reklamy přes SSL. Pokud navíc vložíte reklamy (doručené prostřednictvím protokolu HTTP) na hlavní stránku, která se zobrazuje prostřednictvím protokolu HTTPS, prohlížeče vydají děsivá upozornění na smíšený obsah, kterým nechcete své uživatele podrobovat. Webům podporovaným reklamou bude tedy pravděpodobně velmi obtížné přejít na SSL na celém webu.

Článek také nastiňuje některé další výzvy, jako jsou widgety třetích stran, analytika, vložená videa atd.

19
D.W.

Dobře, tohle je starověká otázka, , takže moje odpověď bude pravděpodobně dole dole dole. Mám však něco, co bych mohl přidat na stranu „nevýhody“.

HTTPS latence:

Pro výrobu rychlé načítání, responzivní weby je nezbytná nízká latence HTTP mezi klientem a serverem. A rychlé načítání stránky zvyšuje štěstí koncového uživatele .

Samotný protokol TCP/IP má slavný TCP třícestný handshake, tj. Počáteční nastavení připojení pro obyčejný HTTP over TCP vyžaduje 3 pakety.) Když je SSL/TLS používá, nastavení připojení je více zapojeno, což znamená latence pro nová připojení HTTPS je nevyhnutelně vyšší než prostý text HTTP.

Všimněte si, že dopad tohoto může být snížen (ale ne eliminován) opakovaným použitím připojení HTTPS mnohokrát, tj. Pomocí trvalých připojení, a dalších optimalizace výkonu, jako je SSL False Start .

Přesné modelování toho, jak moc HTTPS zpomaluje načítání stránky, je komplikované, protože všechny moderní prohlížeče stahujte HTTP objekty paralelně kdykoli je to možné. Vyšší počáteční nastavení připojení je přesto významné a nevyhnutelné se současnou technologií; proto je zvýšená latence nového připojení důležitým faktorem.

15
Jesper M

Nevýhodou, která v ostatních odpovědích výše chybí, je masivní závislost v těchto dnech na distribučních sítích obsahu (např. Akamai) - mnoho webových stránek v současném využití využívá obsah z různých domén, takže prohlížeč by měl mít pro každou z nich k dispozici certs nebo se objeví varování. A pak, samozřejmě, pokud útočník použil platformu CDN, pro kterou prohlížeč již měl certifikáty, nemusí dostat varování, kdy má.

Ošemetný problém se způsobem, jakým jsou aplikace a obsah aktuálně dodávány.

12
Rory Alsop

Pros je určitě zvýšená bezpečnost. Nevýhody mohou být relativně pomalejší připojení, intenzivnější využití procesoru, vyžadovat přesnou správu certifikátů, některé náklady na certifikát (pokud nepoužíváte certifikáty s vlastním podpisem). V nedávné době však dochází k šíření používání protokolu https a tyto nevýhody přicházejí na pozadí kvůli výhodám pro koncové uživatele a zvýšené důvěře ve společnost, která poskytuje služby.

7
anonymous

Další odpovědi potvrdily „problém s kuřetem/vejcem“ kvůli varováním se smíšeným obsahem, která ztěžuje migraci HTTP-> HTTPS. Je to problém, ale nemyslím si, že je tak obtížné, jak to dokazují.

Smíšený obsah lze adresovat pomocí RL relativního protokol a stejných skenerů, které byste měli používat k nalezení problémů XSS.

RFC 3986 oddíl 4.2 používá termín reference síťová cesta:

Relativní odkaz, který začíná dvěma lomítky, se nazývá odkaz na síťovou cestu

Nejprve naskenujte své stránky, dokud nenajdete všechna použití http://example.com/ v odkazech, obrázcích a dalších položkách stejného původu na _ a nahrazte je URLmi relativními k protokolu (//example.com/...). Díky tomu budete moci zobrazovat stejný kód HTML bez ohledu na to, zda zobrazujete stránku prostřednictvím protokolu HTTP nebo HTTPS, a v případě, že se později při migraci něco pokazí, získáte mnohem lepší pozici pro vrácení zpět.

Poté nastavte trvalé přesměrování HTTP-> HTTPS tak, aby stávající adresy URL na webech mimo vaši kontrolu nadále fungovaly a začaly se zobrazovat prostřednictvím protokolu HTTPS. Použití trvalého přesměrování s agresivními záhlavími mezipaměti pomůže vyhledávacím strojům převést hodnocení stránky a zrychlit web pro zpětné návštěvníky.

Měli byste samozřejmě nechat skenery hledat smíšený obsah, abyste zachytili regrese.

5
Mike Samuel

Vím, že se jedná o starou otázku/vlákno, ale chtěl jsem poukázat na obrovskou PRO, která dělá SSL na straně.

SPDY

Použití mod_spdy na Apache vyžaduje SSL.

Ještě jsem nevyužil SPDY, udělej to! Protokol Chrome a Firefox podporují protokol i Opera).

To je asi polovina vašich uživatelů, kteří budou moci využívat výhody SPDY.

4
Spock

Dalšími nevýhodami (kterých se dotýkají ostatní) je nedostatek mezipaměti, který zjevně ovlivní rychlost. Také některé proměnné serveru nejsou k dispozici - myslím například HTTP_FORWARDED_FOR.

3
Nev Stokes

Všechno dobré místo zmíněné zde, nicméně, já chybím kon náklady! A náklady neznamenám pouze nákup certifikátu, ale mít patřičnou infrastrukturu pro správu certifikátů, odvolání, vyhrazené krypto moduly pro snížení zátěže CPU webového serveru atd.

3
Henri

Výhody zachování šifrování celého webu:

  • nebudete štukat své návštěvníky týkající se ochrany soukromí zasláním je prostý text po přihlášení.
  • menší riziko chyb při přesměrování/propojení mezi http a https částmi webu.

Con:?

Přečtěte si posudky od společnosti Google a dalších. To nemusí být nákladné jít 100% https.

3
MattBianco

Pokud je web spravován CMS, který může netechnický uživatel použít k úpravám stránek, může upravovat HTML tak, aby obsahoval odkazy na zdroje mimo web, jako jsou obrázky, přes HTTP. Postavil jsem nákupní web, který používá SSL pouze tam, kde je to nutné, a přesměruje další stránky zpět na HTTP, protože v opačném případě by se vám zobrazovaly smíšená upozornění na obsah kvůli všem obrázkům mimo web, které vlastník vložil na web.

2
TRiG