Grandi siti Web per cose come le banche (ad es. www.cimbclicks.com.my ) e acquisti online (ad es. www.lazada.com.my ) non sembrano preoccuparsi di proteggere la loro prima pagina con SSL, ma la loro pagina di accesso è protetta con SSL. C'è qualche motivazione tecnica per non utilizzare HTTPS in prima pagina (come ad esempio una riduzione delle prestazioni)?
Questo dice più sull'attrito nei processi aziendali che sulla tecnologia.
Affinché un'impresa possa configurare il proprio sito Web con https in tutto, devono risolvere i problemi con la configurazione e il front-end. Ciò richiede una serie di processi di gestione e sicurezza in background che aggiungono tutti elementi di attrito al progetto di implementazione che è probabilmente già sottofinanziato e sotto pressione da fornire.
Quindi è concettualmente più facile per il progetto implementare un sito web "standard", quindi preoccuparsi della sicurezza una volta che hanno dimostrato che il sito di base è sufficientemente robusto e performante.
HTTPS rende alcune cose più complesse da gestire e pensare che le strategie di caching end-to-end siano un po 'più difficili da gestire.
Nessuna di queste cose è davvero una scusa, ma questo è il mio modo di fare, dall'esperienza, al processo aziendale.
Sta cambiando e se cambi il link a https scoprirai che è stato effettivamente implementato in modo tale che potrebbe essere solo il modo in cui l'URL è stato scritto e comunicato, spesso da non esperti. http dovrebbe essere disabilitato, naturalmente.
Servizi come l'eccellente Cloudflare stanno anche aiutando, dal momento che tutti possono ora presentare il proprio sito su https anche senza ottenere il proprio certificato (sebbene ovviamente hai ancora bisogno di almeno un certificato autofirmato per proteggere il traffico tra il tuo server e Cloudflare).
Stai pensando con il tuo cervello da "secchione" e ignorando le dieci diverse cose che entrano in gioco quando parli di "sicurezza".
Questi sono atteggiamenti delle persone che gestiscono il sito, i loro set di abilità, i loro piani di lavoro di produzione / attività per far sì che il sito non sia in linea per svolgere tale lavoro ecc.
Per quanto riguarda gli aspetti tecnici, sì, sei assolutamente corretto che tutti i siti debbano usare https per tutto il tempo e dal momento che menzioni "grandi siti", ci sono netflix e altri che stanno seguendo questa regola.
L'SSL che causa argomenti di overhead non sono più veri e così è il meme che "solo gli accessi dovrebbero essere SSL". Leggi questo post per ulteriori .
Se la risorsa ha un valore che potrebbe essere compromesso dall'essere esposta, non c'è una buona ragione per mescolare il traffico SSL e non SSL. Probabilmente anche se ha poco valore intrinseco, mentre le persone tendono a riutilizzare le password, l'operatore ha il dovere di proteggere la password per il suo valore potenziale altrove.
Poiché non è irragionevole aspettarsi che le persone passino dalla parte non-ssl a ssl, c'è un potenziale per un attacco stripping SSL (non tutti i browser implementano HSTS e pinning dei certificati, non tutti i siti web implementano HSTS e pinning).
Sì, c'è un sovraccarico delle prestazioni (se non lo qualifico, allora arriverà qualche scintilla luminosa e dirà che le CPU e gli algoritmi cifrati sono molto più veloci - ma il sovraccarico è nelle RTT extra per la negoziazione). Ma l'impatto sulle prestazioni può essere mitigato a un costo paragonabile a quello dell'hosting e del provisioning di un certificato.
Leggi altre domande sui tag http web-application tls