【发布时间】:2009-07-31 09:48:11
【问题描述】:
我有一个网站...我们称之为 mysite.com。在这个网站上,我认为应该是这个网站的安全部分的注册部分。
a) 我应该在整个网站上启用 ssl,还是只在注册部分启用(例如 signup.mysite.com) b) 为整个网站启用它有什么优点和缺点?
【问题讨论】:
【发布时间】:2009-07-31 09:48:11
【问题描述】:
这取决于您的网站所提供的服务。如果它提供的数据是敏感数据,那么提供完整的 SSL 加密连接是一个好处。
但是,正如其他人所提到的,您会吃掉您的带宽。 SSL 加密数据,无论是图像、HTML 页面还是其他信息,都不会(应该)缓存在客户端上,因此每次用户重新启动浏览器时,文件都会重新下载。
我同意 Vinay 的观点,通过 SSL 提供登录/注册,然后回退到正常的 HTTP,然后看看。
另一种方法可能是通过 HTTP 提供所有静态内容,而通过 HTTPS 提供所有敏感内容(例如,如果您使用 ExtJS 等系统,则页面是静态文件,数据全部通过 AJAX 检索)。
当然,如果您要提供敏感信息(例如银行信息),而数据本身总是敏感的,那么请使用完整的 SSL 并承担成本。
【讨论】:
-
如果静态内容是由 提供的,比如说内容交付网络,这不会显示“不安全内容”警告吗?
-
据我所知,是的。
-
"通过 SSL 提供登录/注册,然后回退到正常的 HTTP,然后查看。"您如何设想这与安全 cookie 一起使用?或者在混合 ssl 和非 ssl 流量时如何减少敏感信息的泄漏。
完全使用 SSL 不一定会增加您的带宽费用。加密不会使数据变大。请务必同时启用 Deflate 压缩。
SSL 可能会增加您的带宽费用的地方在于,某些浏览器 (firefox) 不会将通过 SSL 检索到的页面缓存到光盘。这意味着当用户在退出浏览器后下次访问您的网站时,他们将再次下载每一个内容。
如果您选择确保用户隐私,请确保您的网站发送的任何 cookie 都设置了“仅通过 SSL 发送”标志,否则用户可能会被一些非常简单的网络钓鱼诱骗以明文形式提供该 cookie。
SSL 还意味着支付由有意义的 CA 签名的证书,在某些情况下,这将花费超过您的品牌宽度。
优点是提高网站上所有页面的安全性和隐私性,缺点是性能较低,因为需要在连接的两端加密/解密流量。
对于一些知名的公共网站,例如仅使用 SSL 登录的 GMail,要求所有页面都使用 SSL 的压力越来越大。
我会说,尝试一下,看看性能是否有问题。如果没有,那就太好了;否则您总是可以回退到 SSL 仅用于登录。
【讨论】:
-
你所说的关于 GMail 的说法并不完全正确。如果您使用普通 http 调用登录页面,它会将您切换到 ssl 进行登录。如果您使用 ssl(使用 https :)调用登录页面,则会话的其余部分将在 ssl 中完成。这种情况已经有一段时间了。
强制整个网站使用 SSL 会占用您的带宽,因为所有内容都已加密,包括图片。更多信息请查看apache ssl faq
【讨论】:
-
实际上,带宽受到的影响有多严重。假设该网站每天有大约 100 到 200 个独特的点击量。这是否意味着它会显着降低速度并快速耗尽带宽?
-
浏览器中的缓存不能(或不应该)通过 SSL 工作。
-
这是错误信息。您甚至可以通过 TLS 实现 CDN 资产。您可以为客户端编写客户端缓存标头以缓存资源。 TLS 包括原生压缩,包括完整请求和响应标头的压缩,这远远超出了 HTTP 压缩。对于大多数网站,TLS 只会增加最少的额外 CPU 使用量。
-
如果给定正确的 Cache-Control 标头,现代浏览器将正确缓存通过 SSL 检索到的资产。
-
实际上客户端和服务器端的 CPU 使用率会增加,对我来说可能比带宽更令人担忧。然而,在现代,计算资源非常丰富,完全通过 SSL 为站点提供服务是一种很好的做法,而且几乎没有妥协。如果您的服务器难以通过 TLS 为资产提供服务,那么它显然已达到最大容量,并且在没有 TLS 的情况下可能会遇到困难。在企业级解决方案中,图像和资产甚至不考虑在内,因为它们将通过 CDN 提供服务,并且 TLS/SSL 终止将在负载均衡器上进行处理,负载均衡器是一个高度优化的设备。