Perché stiamo ancora utilizzando HTTP? [duplicare]

Naviga le tue risposte
11

Ho letto molti articoli e blog online sui vantaggi dell'utilizzo di HTTPS (HTTP su SSL / TLS ) e i problemi di prestazioni coinvolti nella distribuzione di un sito Web su HTTPS. Quello che ho capito è che il sovraccarico delle prestazioni nell'uso di HTTP su SSL / TLS è dovuto all'uso della crittografia asimmetrica nel protocollo e questo sovraccarico dipende in gran parte da fattori come hardware, software server, durata tipica della sessione, comportamenti di memorizzazione dei client dei client ecc.

D'altro canto, molti degli articoli recenti come questo affermano che a causa dei miglioramenti nella capacità e nelle prestazioni dei moderni processori e delle loro architetture, le prestazioni non sono più un problema durante l'utilizzo di HTTPS. Inoltre, i certificati SSL non sono più costosi come in passato.

Quindi, la mia domanda è: perché stiamo ancora facendo affidamento su HTTP quando invece possiamo usare HTTPS senza sovraccarico di prestazioni sul sito web? C'è qualche svantaggio nello spostare tutte le comunicazioni su HTTPS?

    
posta Rahil Arora 14.11.2013 - 18:27
fonte

2 risposte

15

Ecco alcuni motivi comuni:

  1. Costo del certificato. I certificati in genere non sono gratuiti, e per domini piccoli o comunque meno importanti, il costo non è giustificato.

  2. Hosting virtuale. Mentre la tecnologia esiste per specificare un nome host durante la negoziazione SSL, tale tecnologia non è sufficientemente distribuita. Pertanto, i domini SSL richiedono la propria combinazione di porta / IP univoca per la disambiguazione. E non ci sono abbastanza IP per andare in giro.

  3. Cache. Le reti edge-caching e le reti di distribuzione dei contenuti in genere non funzionano bene con SSL. Questo è più frequentemente vero per CDN di terze parti e memorizzazione nella cache basata su proxy.

risposta data 14.11.2013 - 18:44
fonte
3

Per molti siti, la crittografia non ha importanza.

Quando controlli i titoli delle notizie o commenti su Reddit, la sicurezza e la privacy non sono poi così importanti per te.

Nonostante le affermazioni che SSL può essere fatto a basso costo, non è certamente a costo zero - per ragioni che tylerl spiega molto bene. Quindi è usato solo sui siti dove è importante.

Le cose sono cambiate molto di recente. Tre o quattro anni fa, siti come Gmail e Facebook hanno crittografato solo il tuo login, non la tua intera sessione. Ora crittografano l'intera sessione - in gran parte perché Fire Sheep ha dimostrato la vulnerabilità in modo così potente.

    
risposta data 14.11.2013 - 20:48
fonte

Leggi altre domande sui tag

Convalida una catena di certificati SSL in base a RFC 5280: Sto capendo correttamente? TLS_RSA_WITH_3DES_EDE_CBC_SHA riportato come 112 bit