So che SSL dovrebbe essere usato sui server web che hanno bisogno di raccogliere informazioni sulle carte di credito, ecc .. tuttavia, è meglio per l'industria attivare SSL anche per i server Web non critici? Ad esempio quelli utilizzati solo per la navigazione statica, o quelli che richiedono solo un semplice login e password, questo è tutto.
Mi piacerebbe sentire i tuoi commenti. grazie
La strategia prudente sarebbe quella di fare SSL ovunque, quindi pensare di passare a non SSL per alcune pagine se (e solo se) sorgono problemi di prestazioni, che rischia di essere risolto con l'assenza di SSL. Non usare SSL significa che l'attaccante passivo può vedere tutto il traffico, e gli attaccanti attivi possono modificare a volontà tutte le parti non SSL, che possono avere profonde implicazioni. Quindi, questo non è qualcosa che dovrebbe essere fatto alla leggera. Anche il mixaggio di contenuto SSL e non SSL all'interno della stessa pagina tende a generare avvisi o rotture del browser, quindi fare SSL parziale può essere difficile.
I "problemi di prestazioni" che possono sorgere in modo plausibile in presenza di un mondo interamente SSL riguardano il caching; con SSL, proxy trasparenti che memorizzano nella cache le richieste di dati man mano che vanno, senza che i client ne siano a conoscenza, non possono più funzionare. I grandi ISP sono piuttosto affezionati ai proxy trasparenti. D'altra parte, i "problemi di prestazioni" che vengono alla mente della maggior parte degli amministratori di sistema (vale a dire, il "evidente" sovraccarico di crittografia) sono, in realtà, per lo più mitici.
La pratica del settore è ovviamente completamente diversa. L'industria, in generale, passa senza SSL, quindi la aggiunge solo a malincuore, molto tempo dopo, solo per alcune pagine, e solo dopo aver speso tutte le scuse su come gli attacchi su pagine non SSL non siano il loro problema dal momento che sono lato client . Per qualche ragione, molti amministratori di sistema pensano di passare a SSL con la stessa mentalità di un ambientalista che considera la sostituzione di una centrale a carbone con uno nucleare.
Nel mese di agosto Google ha annunciato che stava dando un piccolo impulso classifica di ricerca per siti che hanno utilizzato SSL.
...Over the past few months we’ve been running tests taking into account whether sites use secure, encrypted connections as a signal in our search ranking algorithms. We've seen positive results, so we're starting to use HTTPS as a ranking signal. For now it's only a very lightweight signal — affecting fewer than 1% of global queries, and carrying less weight than other signals such as high-quality content — while we give webmasters time to switch to HTTPS. But over time, we may decide to strengthen it, because we’d like to encourage all website owners to switch from HTTP to HTTPS to keep everyone safe on the web.
Quindi Google sta suggerendo e incoraggiando gli operatori del sito Web a renderlo una best practice del settore.
Al momento di decidere su SSL o no, ricorda che è più che semplice riservatezza:
In alcuni casi, il fatto che i dati vengano cambiati al di fuori delle tue conoscenze può essere dannoso quanto la perdita di un segreto.
L'handshake SSL richiede alcuni round trip tra browser e server. Se avete bisogno di andare per SSL, potrebbe essere necessario fare qualche sforzo in più in altre parti del sito web per compensare quella penalizzazione delle prestazioni.
Dipende da quali dati saranno passati tra il client e il server. Ad esempio, avrai sicuramente bisogno di SSL per il login utente. Io generalmente uso SSL per tutto ciò che è online. La mia regola generale è che, se i dati passano attraverso un supporto aperto, utilizzare la crittografia.