zero_r Asked: 2010-02-02 07:31:10 +0800 CST2010-02-02 07:31:10 +0800 CST 2010-02-02 07:31:10 +0800 CST 建议:公司网站强制https? 772 我的公司希望将他们的“信息”网站从 HTTP 重写为 HTTPS。从技术上讲,这对我来说没什么大不了的。但我怀疑这是否是最先进的,因为他们想要这个的唯一原因是加密联系人和注册表单。(我可以为带有表单的站点启用 HTTPS,但是他们不喜欢这种方法。) 拥有仅 HTTPS 的公司网站有哪些缺点和衰退?你的经验和建议是什么? Web 应用程序在另一个 URL 上运行并已加密。 问候 website rewrite https 9 个回答 Voted Sideshowcoder 2010-02-02T07:56:54+08:002010-02-02T07:56:54+08:00 如果无论如何任何人都可以访问该网站,那么除了为表单启用它之外,HTTPS 没有任何实际意义,因为任何人都可以阅读该页面。另一方面,HTTPS 对服务器的影响非常小,特别是如果您正在运行一些动态页面,这将使 HTTPS 的影响真的不明显。我的建议是在 Web 服务器中打开它,因为实际上没有什么可重写的,如果您的服务器需要这种被 HTTPS 带走的小性能,您可以将其关闭,但如果有的话,你可能不会解决你的性能问题。 所以简而言之,只要让自己免于为这样的事情而吵架,然后打开它;) Best Answer Mark Henderson 2010-02-02T16:51:01+08:002010-02-02T16:51:01+08:00 我们仅在 HTTPS 上运行我们的一些网站,应公司管理员的要求,他们想要发出“我们非常重视您的隐私”消息,除了需要为每个站点提供专用 IP 地址外,我们还从未注意到我们的服务器有任何消耗。 这些都是低流量网站,每天可能有 1000-5000 次点击,主要来自回访者。 使用 HTTPS,您还可能会丢失: 客户端缓存(缓存 HTTPS 通常被认为是禁忌,但如果您明确指定expires标头,某些浏览器仍会缓存它) 拨号/高延迟用户的快速加载时间(HTTPS 握手对于宽带可以忽略不计,但对于拨号或泰国人来说非常明显) 如果这些事情不让你担心(他们没有让我们的用户或公司担心)那么我说去吧——争论没有意义! Satanicpuppy 2010-02-02T07:43:22+08:002010-02-02T07:43:22+08:00 HTTPS 速度稍慢,处理器密集度稍高。 任何带有数据包嗅探器的 schmuck 都可以读取 HTTP。 Alex Holst 2010-02-02T12:48:01+08:002010-02-02T12:48:01+08:00 使用 SSL 的优势: 敏感信息未明文发送 使用 SSL 的缺点: 更新证书和流程会耗费时间和金钱。 如果你把证书弄乱了,你会以一种非常公开的方式看起来很傻。 CPU 使用率增加,使您的网站加载速度变慢。测量差异。 浏览器不会缓存通过 https 获取的对象,因此您的带宽使用会增加,访问者会觉得您的网站速度较慢,因为每个对象都是通过网络获取的。根据当前流量使用情况估计增加的带宽使用情况。 不要为此使用 mod_rewrite。使用 http 301 或 302 重定向。 Tom Willwerth 2010-02-02T07:57:22+08:002010-02-02T07:57:22+08:00 您需要记住从全球认可的根证书提供商处购买和更新 SSL 证书。如果您忘记续订,整个网站都会出现错误消息。 Tobu 2010-02-02T08:37:54+08:002010-02-02T08:37:54+08:00 仅加密表单提交可以防止随意窥探,但中间的人会简单地重写表单提交以转到普通的 http url。如果表单很重要,表单提交页面也应该是 https,表单用户应该有一个简短的 https url 来输入和收藏。如果您的整个网站重定向到 https 页面,您将在 https 中获得索引,用户将不再需要依赖输入。 这是您要防御哪种威胁模型的问题,代价是证书和一点 cpu。 John Gardeniers 2010-02-02T16:45:34+08:002010-02-02T16:45:34+08:00 我发现有趣的是,我访问的几乎每个站点都在需要安全性的地方使用 HTTPS,而在其他地方使用 HTTP。正如其他人已经提到的那样,我预计这是因为 HTTPS 带来的开销。 Jeremy Bouse 2010-02-02T19:09:05+08:002010-02-02T19:09:05+08:00 请参阅我对问题的回答。虽然最初的问题是关于 JBoss 和 AJP,但答案包括将非 HTTPS 流量重定向到 HTTPS 的 mod_rewrite 规则集。 MarkR 2010-02-03T00:03:39+08:002010-02-03T00:03:39+08:00 HTTPS 会减慢您的网站速度,但不是因为其他人建议的原因。它不会“吸走你的 CPU”,而只是通过将 SSL 握手添加到每个连接的 TCP 握手来增加延迟。在需要许多连接来加载页面(例如大量图像等)的情况下,这可能会导致性能大幅下降,尤其是在您关闭 HTTP keepalives 的情况下。 让整个站点都在 HTTPS 上肯定会使开发更容易——整个站点都在 HTTPS 上意味着您的开发人员不必担心哪些位需要是 HTTP 和 HTTPS,哪些页面需要从一个切换到另一个,以及组成绝对链接对那些等 以前,我曾在使用混合的电子商务网站上工作过,尝试在适当的页面上从安全/非安全切换变得非常麻烦,特别是如果您的网站布局和导航很复杂并且从一个页面重用到另一个页面(它通常在大多数站点中) 请参阅 paypal.com,了解某人选择仅将整个网站设置为 HTTPS 的示例。但我注意到银行很少这样做。
如果无论如何任何人都可以访问该网站,那么除了为表单启用它之外,HTTPS 没有任何实际意义,因为任何人都可以阅读该页面。另一方面,HTTPS 对服务器的影响非常小,特别是如果您正在运行一些动态页面,这将使 HTTPS 的影响真的不明显。我的建议是在 Web 服务器中打开它,因为实际上没有什么可重写的,如果您的服务器需要这种被 HTTPS 带走的小性能,您可以将其关闭,但如果有的话,你可能不会解决你的性能问题。
所以简而言之,只要让自己免于为这样的事情而吵架,然后打开它;)
我们仅在 HTTPS 上运行我们的一些网站,应公司管理员的要求,他们想要发出“我们非常重视您的隐私”消息,除了需要为每个站点提供专用 IP 地址外,我们还从未注意到我们的服务器有任何消耗。
这些都是低流量网站,每天可能有 1000-5000 次点击,主要来自回访者。
使用 HTTPS,您还可能会丢失:
expires标头,某些浏览器仍会缓存它)如果这些事情不让你担心(他们没有让我们的用户或公司担心)那么我说去吧——争论没有意义!
HTTPS 速度稍慢,处理器密集度稍高。
任何带有数据包嗅探器的 schmuck 都可以读取 HTTP。
使用 SSL 的优势:
使用 SSL 的缺点:
不要为此使用 mod_rewrite。使用 http 301 或 302 重定向。您需要记住从全球认可的根证书提供商处购买和更新 SSL 证书。如果您忘记续订,整个网站都会出现错误消息。
仅加密表单提交可以防止随意窥探,但中间的人会简单地重写表单提交以转到普通的 http url。如果表单很重要,表单提交页面也应该是 https,表单用户应该有一个简短的 https url 来输入和收藏。如果您的整个网站重定向到 https 页面,您将在 https 中获得索引,用户将不再需要依赖输入。
这是您要防御哪种威胁模型的问题,代价是证书和一点 cpu。
我发现有趣的是,我访问的几乎每个站点都在需要安全性的地方使用 HTTPS,而在其他地方使用 HTTP。正如其他人已经提到的那样,我预计这是因为 HTTPS 带来的开销。
请参阅我对问题的回答。虽然最初的问题是关于 JBoss 和 AJP,但答案包括将非 HTTPS 流量重定向到 HTTPS 的 mod_rewrite 规则集。
HTTPS 会减慢您的网站速度,但不是因为其他人建议的原因。它不会“吸走你的 CPU”,而只是通过将 SSL 握手添加到每个连接的 TCP 握手来增加延迟。在需要许多连接来加载页面(例如大量图像等)的情况下,这可能会导致性能大幅下降,尤其是在您关闭 HTTP keepalives 的情况下。
让整个站点都在 HTTPS 上肯定会使开发更容易——整个站点都在 HTTPS 上意味着您的开发人员不必担心哪些位需要是 HTTP 和 HTTPS,哪些页面需要从一个切换到另一个,以及组成绝对链接对那些等
以前,我曾在使用混合的电子商务网站上工作过,尝试在适当的页面上从安全/非安全切换变得非常麻烦,特别是如果您的网站布局和导航很复杂并且从一个页面重用到另一个页面(它通常在大多数站点中)
请参阅 paypal.com,了解某人选择仅将整个网站设置为 HTTPS 的示例。但我注意到银行很少这样做。