No, non è obbligatorio, ma devi fare molta attenzione se non lo fai.
HTTPS può bloccare gli attacchi man in the middle, a cui HTTP è molto vulnerabile.
Tuttavia, HTTPS trasporta un overhead del processore (e quindi della velocità). L'HTTPS fa sì che i dati fuori sessione non vengano memorizzati nella cache e, quindi, possono scaricare nuovamente i contenuti ad ogni visita. Ti impedisce anche di utilizzare (o rende molto più difficile da usare) le reti di distribuzione dei contenuti.
Quindi molti siti cercano di cavarsela senza, ma è una linea pericolosa poiché la miscelazione di HTTP e HTTPS è molto rischiosa - devi usare i cookie di autenticazione HTTPS, il che significa che l'utente sarà connesso solo quando visiterà le pagine HTTPS .
Se lasci che un cookie di autenticazione HTTPS venga inviato a una pagina HTTP, hai lasciato aperta una via di attacco facile per gli hacker.
Ciò che molti siti fanno è questo:
- Gli utenti anonimi possono consultare l'e-shop e creare un carrello
- Una volta che procede al checkout o accedi , passano alla versione sicura (più lenta) di HTTPS.
- Viene fornito un cookie di autenticazione solo HTTPS e talvolta anche un cookie HTTP con solo il nome utente.
Questo è ciò che fa Amazon: i cookie che contengono il nome utente e il carrello non sono sicuri e possono essere facilmente intaccati, ma devi accedere all'area HTTPS (o avere un cookie HTTPS valido e non scaduto) per acquistare qualcosa o visualizzare il tuo conto.
Questa è una linea sottile, tuttavia, hai bisogno di sviluppatori e personale di supporto validi (con elevata sicurezza). Per la maggior parte dei siti è un lotto più semplice e meno rischioso per tutto ciò che riguarda HTTPS.
Aggiornamento 2016
Non credo che la mia risposta sopra sia più giusta. HTTPS è ora obbligatorio, per un paio di motivi:
- HTTP / 2 significa che i siti protetti sono spesso significativamente più veloci.
- Diverse funzioni avanzate sono solo HTTPS, ad esempio i lavoratori del servizio.
- Google Chrome (e probabilmente altri browser a breve) segnalano sempre più siti che non usano HTTPS. Entro il 2017, anziché il solo lucchetto verde, i siti senza HTTPS visualizza un avviso :