https (SSL) вместо http для мобильных пользователей

Я создаю новый веб-сайт из соображений конфиденциальности и безопасности. Я рассматриваю возможность сделать это только https.

Он будет дружественным к мобильному использованию с использованием медиа-запросов, но я заинтересован, особенно для мобильных пользователей, - о увеличенной пропускной способности.

Сколько будет сделано увеличение пропускной способности или медленное время загрузки? Для страниц, на которых я не передаю конфиденциальную информацию, я должен оставить внешние ссылки (например, в библиотеке jQuery или веб-шрифте) в http?

Проще говоря, я прочитал статьи о том, что вся сеть будет более безопасной, если все будет SSL, но мои фактические знания о реализации ограничены платными шлюзами и страницами входа и т. д. Я прошу прощения за открытый характер вопроса, но все, даже простые ответы на конкретные вопросы приветствуются.

5 голосов | спросил adam-asdf 11 J000000Wednesday12 2012, 06:49:19

3 ответа


2

(Вас может заинтересовать этот связанный с этим вопрос на SO: Сделать полный HTTPS /SSL-сайт сайта? Какие проблемы с производительностью и amp; лучшие практики по-прежнему применяются в 2012 году? )

Сколько будет сделано увеличение пропускной способности или медленное время загрузки?

Как только рукопожатие завершено, шифрование выполняется с использованием симметричных ключей. Для записей SSL /TLS существует немного накладных расходов, но на самом деле это довольно мало (согласно инженеры Google , есть около 2% сетевых издержек).

Сколько стоит рукопожатие (как с точки зрения ЦП, так и сети). Без возобновления сеанса вам нужно будет получить сертификат сервера (около 1 КБ для сертификата с 2048-битным ключом RSA, это зависит от атрибутов). Круглые поездки также могут увеличить латентность (и могут быть большой проблемой для мобильных устройств). Я предполагаю, что некоторые мобильные устройства, по крайней мере, поддерживают возобновление сеанса.

Самый большой поток рукопожатия, который я видел, был связан с длинным списком сертификационных органов в сообщении TLS запроса сертификата при использовании аутентификации клиентского сертификата. Это было настроено с хранилищем доверия по умолчанию (на сервере Java). Хорошая настройка сервера может избежать этой проблемы (при использовании аутентификации клиент-cert вы обычно можете ограничить себя несколькими CA, которые вы готовы принять, с точки зрения сервера, вам не нужен список по умолчанию, который в этом случае было более 100 имен). Если вы даже не используете аутентификацию клиентского сертификата, убедитесь, что вы не включили его (даже необязательно), чтобы у вас не было этой проблемы.

  

Для страниц, на которых я не передаю конфиденциальную информацию, должен ли я   оставьте внешние ссылки (например, в библиотеке jQuery или веб-шрифте)   в http?

Да, никогда не смешивайте контент. Это побеждает цель HTTPS. Проблема со смешанным контентом заключается в том, что вы больше не знаете, какую часть страницы вы можете доверять. Это проблема с пользовательским интерфейсом (и мобильные браузеры уже довольно плохи с точки зрения определения того, какие условия безопасности вы находитесь).

Вы можете использовать CDN, которые поддерживают HTTPS, если вам нужно ( API библиотек Google ). https://, например, для jQuery). Современные браузеры должны кэшировать контент HTTPS по умолчанию, хотя некоторые могут и не быть, и в этом случае вы можете использовать заголовок Cache-Control: public. Вы также должны предотвратить кеширование чувствительных страниц.

ответил Bruno 26 J000000Thursday12 2012, 04:55:15
4

Ширина полосы пропускания не должна увеличиваться. При подключении https есть несколько дополнительных согласований, и потому, что файлы с шифрованием на некоторых страницах размера блока могут немного увеличиться.

Время загрузки может увеличиться из-за накладных расходов при шифровании страницы в конце и дешифрования страницы с конца пользователя. Я не могу сказать, насколько я не знаю вашего оборудования, и никто из нас не знает, насколько мощными являются мобильные устройства пользователя.

Если у вас есть безопасная страница с незащищенным контентом, браузер пользователя может вызвать тревожное сообщение.

Я бы только зашифровал страницы с конфиденциальной информацией о них.

ответил paulmorriss 11 J000000Wednesday12 2012, 14:35:49
-1

HTTPS не предлагает надежной защиты - поскольку он уязвим для атаки MiTM. Это просто делает его немного сложнее (немного). Я не вижу преимущества в преимуществах за то, что у вас есть полный сайт https.

ответил john 11 J000000Wednesday12 2012, 17:34:12

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132