Aspetti negativi dell'uso di HTTPS [duplicato]

13

Recentemente Google ha indicato che un certificato HTTPS verrà utilizzato come segnale positivo nelle sue classifiche di ricerca .

Questo ha causato alcune discussioni all'interno della nostra azienda sul fatto che dovremmo applicare un certificato HTTPS al nostro nuovo sito.

Tuttavia, il nostro sito non contiene dettagli di accesso, non contiene dati utente ed è effettivamente contenuto statico.

Questo, combinato con il fatto che Google ha dichiarato che sarà usato solo come un piccolo fattore, significa che mi sento come se fosse eccessivo e non richiesto.

Tuttavia, altri membri dell'azienda dicono "qual è il danno, può solo aiutare".

Oltre al costo, ci sono dei lati negativi su HTTPS?

    
posta Tom.Bowen89 22.08.2014 - 11:26
fonte

4 risposte

13

HTTPS ti offre riservatezza (crittografia), autenticazione (identità) e integrità (connessioni a prova di manomissione).

Non ti importa tanto del primo nel tuo caso, ma dovresti preoccuparti dei secondi due. La parte "identità" ti protegge implicitamente da determinati attacchi DNS, ma c'è il problema dell'uovo e dell'uovo (da qui HSTS ). C'è anche la "barra degli URL verdi" e tutte quelle assurdità, ma è principalmente un side-show.

HTTPS presenta almeno i seguenti inconvenienti:

  • è più lento su entrambi i lati (ma non di molto, e probabilmente nascosto dai vincoli della larghezza di banda)
  • ha una maggiore latenza (più round trip, ma non molti di più), questo può essere minimizzato con SPDY
  • complica l'analisi legittima e la risoluzione dei problemi (ad esempio l'acquisizione di pacchetti)
  • it può impedire ad alcuni utenti di accedere al tuo sito (politica aziendale, scansione dei contenuti ecc.)
  • la catena CERT e CA può davvero aggiungere ai sovraccarichi della connessione (esistono soluzioni alternative come questo )
  • hai a che fare con una CA e hai un processo amministrativo per affrontare i rinnovi (purtroppo più difficile nella pratica di quanto non sembri)
  • più protocolli significa più configurazione, più software e una maggiore superficie di attacco

(Un inconveniente meno tangibile è salire a bordo dell'intero treno PKI / CA, ma non andiamo lì oggi ...)

    
risposta data 22.08.2014 - 12:32
fonte
13

Other than the cost, are there any downsides to HTTPS?

Sì, il traffico HTTPS non può essere memorizzato nella cache da proxy di terze parti. Se il tuo contenuto è altamente memorizzabile nella cache (molto probabilmente se il tuo sito è per lo più di contenuto statico) e molti utenti che hanno una connessione Internet più lenta (ad esempio la maggior parte delle persone nei paesi in via di sviluppo si affidano esclusivamente a una rete mobile congestionata), i proxy di caching creati da i loro ISP o provider di telefonia mobile o rete aziendale / universitaria non possono restituire un risultato memorizzato nella cache locale. Invece devono andare tutti verso il tuo server anche quando lo stesso contenuto è stato richiesto migliaia di volte nel vicinato.

Questo può essere attenuato un po 'se questi utenti installano il loro certificato proxy ISP, che consente all'ISP di fare essenzialmente un MITM con il permesso dell'utente, ma questo comprometterà significativamente la sicurezza dei siti che effettivamente necessitano della sicurezza di HTTPS.

    
risposta data 22.08.2014 - 12:31
fonte
4

HTTPS è ancora utile anche senza che i dati sensibili vengano passati sul filo. SSL garantisce anche l'identità, quindi il cliente sa che le informazioni provengono effettivamente da te e non da qualcun altro.

L'unico vero svantaggio per molto tempo è stato il rendimento. Tuttavia, questo è in gran parte scomparso ora quando le implementazioni SSL / TLS sono migliorate e la tecnologia è progredita. Controlla qui per una spiegazione dettagliata.

    
risposta data 22.08.2014 - 11:47
fonte
2

HTTPS è HTTP all'interno di una connessione SSL, ovvero hai ancora un altro livello. Questo introduce un sovraccarico che può essere un problema, vedi C'è sempre una buona ragione per usare TLS / SSL? .

Come livello aggiuntivo introduce anche una maggiore complessità sul lato server, perché si ottengono tutti i problemi lato server di HTTP (DOS a livello di applicazione come questo ) e quindi i problemi di SSL (come Hearbleed ) in cima.

Ciò significa che proteggi il trasporto dei dati tra client e server a costo di aumentare la superficie di attacco del server. Non c'è il pranzo gratis: (

Per favore non capirlo come argomento contro SSL. La protezione dello strato di trasporto è molto importante e presenta anche vantaggi se non si dispone di dati sensibili (ad esempio, la privacy). Ma devi essere consapevole che aumenti la superficie di attacco e quindi devi essere preparato a gestire i problemi associati a SSL.

    
risposta data 22.08.2014 - 11:58
fonte

Leggi altre domande sui tag