推奨：会社のWebサイトはhttpsを強制されますか？

私の会社では、「情報提供」WebサイトをHTTPからHTTPSに書き換えたいと考えています。技術的にこれは私にとって大したことではありません。しかし、彼らがこれを望んでいる唯一の理由は連絡先を暗号化してフォームをサインアップすることなので、これが最先端のものであるかどうか私には疑問があります。（フォームを含むサイトでHTTPSを有効にすることもできますが、そのアプローチは好きではありません。）

HTTPSのみの会社のWebサイトを持つことの欠点と不利な点は何ですか？あなたの経験と推奨は何ですか？

Webアプリケーションは別のURLで実行されており、暗号化されています。

よろしく

私たちはいくつかのウェブサイトをHTTPSのみで実行し、「プライバシーを本当に真剣に受け止めています」というメッセージを出したい企業管理者のリクエストに応じて、各サイトに専用のIPアドレスが必要なことを除いて、サーバーのドレインに気づかなかった。

これらはすべてトラフィックの少ないサイトで、ほとんどがリピーターからの1日あたり1000〜5000ヒットです。

HTTPSを使用すると、緩むこともあります。

• クライアント側のキャッシュ（通常、HTTPSのキャッシュはノーノーと見なされますが、expiresヘッダーを明示的に指定した場合でも、一部のブラウザーはそれをキャッシュします）
• ダイアルアップ/高レイテンシユーザーの読み込み時間の高速化（HTTPSハンドシェイクはブロードバンドでは無視できますが、ダイアルアップやタイの人々では非常に顕著です）

これらがあなたのことを心配していなければ（私たちのユーザーも会社もそうではありませんでした）、私はそれのために行くと言います。

とにかく誰でもWebサイトにアクセスできる場合、誰でもページを読むことができるので、フォームに対してWebサイトを有効にする以外に、HTTPSに本当の意味はありません。その一方で、HTTPSがサーバーに与える影響は非常に低く、特に動的ページを実行しているために、影響を受けるHTTPSが本当に目立たない場合は特にそうです。私が推奨するのは、Webサーバーでオンにすることです。実際に書き換える必要はないため、サーバーがHTTPSによって奪われるこの小さなパフォーマンスを必要とする状況になった場合、オフにすることができます。しかし、パフォーマンス問題があったとしても、それを実行しても問題は解決しないでしょう。

要するに、このようなことについての面倒な戦いから身を守り、それをオンにするだけです;）

HTTPSは少し低速で、プロセッサに負荷がかかります。

HTTPは、パケットスニファを備えたどのschmuckでも読み取ることができます。

SSLを使用する利点：

• 機密情報は平文で送信されません

SSLを使用することの欠点：

• 更新のための証明書とプロセスには、時間と費用がかかります。
• 証明書をめちゃくちゃにすると、非常に公然と愚かに見えます。
• CPU使用率が増加し、ウェブサイトの読み込みが遅くなります。違いを測定します。
• ブラウザはhttps経由でフェッチされたオブジェクトをキャッシュしないため、各オブジェクトがネットワーク経由でフェッチされるため、帯域幅の使用が増加し、訪問者はサイトの速度が遅くなると感じるでしょう。現在のトラフィック使用量に基づいて、増加した帯域幅使用量を推定します。

これにはmod_rewriteを使用しないでください。http 301または302リダイレクトを使用します。

グローバルに認められたルート証明書プロバイダーからSSL証明書を購入して更新することを忘れないでください。更新を忘れると、サイト全体にエラーメッセージが表示されます。

フォーム送信のみを暗号化すると、偶発的なスヌーピングから保護されますが、中間の人は単純にフォーム送信を書き換えて、プレーンなhttp URLに移動します。フォームが重要な場合は、フォーム送信ページもhttpsである必要があり、フォームのユーザーには入力とブックマークを行うための短いhttps URLが与えられる必要があります。サイト全体がhttpsページにリダイレクトされた場合、httpsでインデックスが作成され、ユーザーは入力に依存する必要がなくなります。

これは、証明書と少しのCPUを犠牲にして、どの脅威モデルを防御したいかという問題です。

私がアクセスするほぼすべてのサイトで、セキュリティが必要な場合はHTTPSを使用し、それ以外の場合はHTTPを使用しているのが興味深いです。他の人がすでに述べたように、これはHTTPSによって課せられるオーバーヘッドのためだと思います。

質問に対する私の回答をご覧ください。その最初の質問はJBossとAJPに関するものでしたが、回答には非HTTPSトラフィックをHTTPSにリダイレクトするmod_rewriteルールセットが含まれていました。

HTTPSはWebサイトの速度を低下させますが、他の人が示唆している理由によるものではありません。「CPUを吸い込む」のではなく、接続ごとにTCPハンドシェイクにSSLハンドシェイクを追加することで遅延を増加させるだけです。これにより、特にHTTPキープアライブをオフにしている場合に、ページをロードするために多くの接続が必要な状況（たとえば、大量の画像など）でパフォーマンスが大幅に低下する可能性があります。

HTTPSでサイト全体を使用すると、開発が容易になります。HTTPSでサイト全体を使用すると、開発者は、どのビットをHTTPとHTTPSにする必要があるか、どのページを別のページに切り替える必要があるか、絶対リンクを作成する必要はありません。それらに等

以前、私は混合を使用するeコマースサイトで作業してきましたが、特にサイトのレイアウトとナビゲーションが複雑で、あるページから別のページに再利用されている場合は、適切なページでセキュア/非セキュアから切り替えようとするとかなり手間がかかります（それは通常ほとんどのサイトにあります）

サイト全体にHTTPSを配置することを選択した人の例については、paypal.comを参照してください。しかし、銀行がそれを行うことはめったにありません。