Perché non si dovrebbe usare SSL? [duplicare]

Ci sono una serie di motivi per non usare SSL, nessuno dei quali è una ragione buona in sé, ma cumulativamente possono spiegare molte cose.

La ragione principale per cui non si usa SSL è un effetto della forza più strong nell'Universo, cioè la pigrizia. Tuttavia, la semplice impostazione di SSL è, non , la sua impostazione sarà ancora più semplice. Questo da solo spiega perché così tanti siti usano ancora solo HTTP, non HTTPS. Un gran numero di siti può farcela e non essere attaccato, perché non ci sono abbastanza attaccanti in giro per attaccare ogni sito, da un punto lungo (e gli attaccanti non sono meno pigri di tutti gli altri).

Tra le altre ragioni, si può citare quanto segue:

• L'hosting di diversi siti Web HTTPS con nomi distinti sullo stesso indirizzo IP è stato a lungo difficile, soprattutto quando i vari siti non si conoscono (il server utilizza un certificato con tutti i nomi, ma questo può si traducono in associazioni apparenti e sfortunate, o il server si basa su SNI , che non funziona con Internet Explorer su WinXP).

• SSL impedisce alcuni tipi di memorizzazione nella cache, in particolare il proxy trasparente a cui alcuni ISP sono piuttosto affezionati. Ciò implica requisiti di larghezza di banda aggiuntivi per il server (i dati rigidi in aumento sono difficili da trovare e dipendono dal tipo di sito, ad esempio un'interfaccia di posta come Gmail difficilmente trarrà comunque vantaggio dal caching pesante, contrariamente a sito pesante per immagini).

• In (molto) giorni più vecchi, i siti Web HTTPS non erano indicizzati a fondo come siti non SSL, risultando in una idea diffusa che si ottiene un migliore indicizzazione mediante l'esclusione di SSL (che è stato errato per un bel po 'di tempo ora, ma le vecchie idee sono difficili da sradicare).

• Alcune persone hanno ancora la sensazione che SSL implichi un costo computazionale pesante (anche questo non è corretto, ma comunque comune).

• Come ironia, alcune persone temono che l'uso di SSL possa dare l'impressione di preoccuparsi della sicurezza, aumentando così il backlash della reputazione se (quando) vengono violati. L'idea è che se non rivendichi o non lasci credere che hai mai prestato attenzione al concetto di sicurezza, allora forse le persone saranno più indulgenti quando scopriranno quanto in effetti non te ne occuperai.

Oltre a ciò che ha detto Thomas, semplici motivi pratici:

• per servizi più piccoli, hosting a basso costo che non ti dà accesso diretto per configurare il tuo server con certs (o in effetti fornire l'indirizzo IP univoco che avresti bisogno di fare SSL fino al giorno in cui possiamo davvero fare affidamento su SNI)

• devi includere contenuti di terze parti (iframe, script ecc.) che non sono di per sé disponibili tramite HTTPS, senza attivare brutti avvisi del browser.

Perché non si dovrebbe usare SSL?

Non credo che sia una domanda corretta.

Quando e in quali condizioni vorresti andare via senza usare SSL sarebbe migliore.

• quando hai una pagina statica senza accesso privilegiato che richiede pagine o nessun tipo di autenticazione web.

Oltre a questo, sarebbe bene avere SSL a bordo.

L'hosting di più certificati SSL su un singolo indirizzo IP con SNI non è difficile, anche se un po 'costoso.

Se monetizzi il tuo sito web utilizzando google adsense, puoi guadagnare meno sulle pagine https.

Google rimuove

non-SSL compliant ads from the auction, thereby reducing auction pressure, so ads on your HTTPS pages might earn less than those on your HTTP pages.

link

Gli argomenti contro SSL in genere risolvono problemi di prestazioni o di configurazione o problemi di integrazione con servizi di terze parti che possono generare avvisi che spaventano gli utenti. potrebbe essere appropriato per alcuni siti web che sono simili a brochure e dove l'utente non invia alcuna informazione.

D'altra parte, anche se si dispone di un sito Web di opuscoli statici, l'utilizzo di TLS e certificati reali aiuta a comunicare ai visitatori che i contenuti sono legittimi e integri. Immagina un sito politico puramente brochure-like, se l'aggressore può fare un qualche tipo di attacco MitM e cambiare il contenuto non fa male al visitatore, ma sicuramente ti fa male.

In generale, a meno che non vi siano alcuni requisiti di configurazione o prestazioni dispari, è sempre opportuno implementare SSL / TLS. Il rischio (attacco o reputazionale) potrebbe non essere sufficiente a giustificarlo. Inoltre, potrebbe essere difficile su alcuni ambienti di hosting condiviso.