La strategia prudente sarebbe quella di fare SSL ovunque, quindi pensare di passare a non SSL per alcune pagine se (e solo se) sorgono problemi di prestazioni, che rischia di essere risolto con l'assenza di SSL. Non usare SSL significa che l'attaccante passivo può vedere tutto il traffico, e gli attaccanti attivi possono modificare a volontà tutte le parti non SSL, che possono avere profonde implicazioni. Quindi, questo non è qualcosa che dovrebbe essere fatto alla leggera. Anche il mixaggio di contenuto SSL e non SSL all'interno della stessa pagina tende a generare avvisi o rotture del browser, quindi fare SSL parziale può essere difficile.
I "problemi di prestazioni" che possono sorgere in modo plausibile in presenza di un mondo interamente SSL riguardano il caching; con SSL, proxy trasparenti che memorizzano nella cache le richieste di dati man mano che vanno, senza che i client ne siano a conoscenza, non possono più funzionare. I grandi ISP sono piuttosto affezionati ai proxy trasparenti. D'altra parte, i "problemi di prestazioni" che vengono alla mente della maggior parte degli amministratori di sistema (vale a dire, il "evidente" sovraccarico di crittografia) sono, in realtà, per lo più mitici.
La pratica del settore è ovviamente completamente diversa. L'industria, in generale, passa senza SSL, quindi la aggiunge solo a malincuore, molto tempo dopo, solo per alcune pagine, e solo dopo aver speso tutte le scuse su come gli attacchi su pagine non SSL non siano il loro problema dal momento che sono lato client . Per qualche ragione, molti amministratori di sistema pensano di passare a SSL con la stessa mentalità di un ambientalista che considera la sostituzione di una centrale a carbone con uno nucleare.