La situazione è un po 'più complessa di quanto suggerisca il titolo (ma non molto).
Sto lavorando su un'API REST che avrà poche risorse aperte / pubblicamente disponibili e poche con autenticazione. (Quest'ultimo è al momento BasicAuth, ma potrebbe in futuro diventare qualcos'altro.)
Ovviamente, mi piacerebbe avere HTTPS per le risorse autenticate. Ma dovrei anche usarlo per quelli aperti?
Non riesco a decidere tra:
- L'uso di HTTP significa meno spese generali e meno disturbo con i certificati per server e client
- Utilizzare HTTPS significa una configurazione più omogenea, in più nasconde il contenuto da leggere durante il trasporto
Pensieri?