建议：公司网站被迫使用https？

我的公司希望将其“信息”网站从HTTP重写为HTTPS。从技术上来说，这对我来说并不重要。但是我怀疑这是否是最新技术，因为他们想要这样做的唯一原因是加密联系人并签署表格。（我可以为带有表单的网站启用HTTPS，但是他们不喜欢这种方法。）

拥有仅HTTPS的公司网站有哪些弊端和低迷时期？您的经验和建议是什么？

Web应用程序正在另一个URL上运行并已加密。

问候

根据公司管理员的要求，我们仅在HTTPS上运行我们的一些网站，他们希望发出“我们非常认真地对待您的隐私”消息，除了需要每个站点都有专用IP地址之外，我们还从来没有注意到我们的服务器上有任何消耗。

这些都是流量较低的网站，每天的访问量大约为1000-5000，主要来自回头客。

使用HTTPS，您可能还会失去：

• 客户端缓存（缓存HTTPS通常被认为是禁止，但如果您明确指定expires标头，则某些浏览器仍会缓存它）
• 快速拨号/高延迟用户的加载时间（对于宽带而言，HTTPS握手可忽略不计，但是对于拨号或泰国人而言，HTTPS握手可忽略不计）

如果这些事情不让您担心（他们不为我们的用户或公司所困扰），那么我就说吧-争论毫无意义！

如果仍然可以从任何人访问该网站，那么除了为表单启用它之外，HTTPS并没有真正意义，因为任何人都可以阅读该页面。另一方面，HTTPS对服务器的影响确实很小，尤其是如果您无论如何正在运行一些动态页面，这都会使HTTPS的影响确实不明显。我的建议是仅在Web服务器上将其打开，因为实际上没有什么可重写的，如果您遇到服务器将需要HTTPS取代的这种小性能的情况，则可以将其关闭，但是如果有的话，您可能不会解决性能问题。

简而言之，只要避免自己为此类问题而战，就可以将其打开;）

HTTPS速度稍慢，处理器密集程度稍高。

任何使用包嗅探器的schmuck都可以读取HTTP。

使用SSL的优点：

• 敏感信息不是明文发送的

使用SSL的缺点：

• 证书和续签流程需要花费时间和金钱。
• 如果您弄乱了证书，您将以一种非常公开的方式看起来很愚蠢。
• CPU使用率增加，使您的网站加载速度变慢。测量差异。
• 浏览器不会缓存通过https获取的对象，因此带宽消耗将增加，并且访问者会觉得您的网站运行速度变慢，因为每个对象都是通过网络获取的。根据当前流量使用量估算增加的带宽使用量。

不要为此使用mod_rewrite。使用http 301或302重定向。

您将需要记住从全球公认的根证书提供商处购买和更新SSL证书。如果您忘记续订，则整个站点都会显示一条错误消息。

仅对表单提交进行加密可以防止偶然的窥探，但是中间的人只会重写表单提交以进入纯HTTP网址。如果表单很重要，则表单提交页面也应为https，并且应为表单用户提供一个简短的https url以进行键入和添加书签。如果您的整个网站都重定向到https页面，则您将在https中建立索引，并且用户将不必再依赖于键入。

这是您要防御哪种威胁模型的问题，而这需要花费证书和一点CPU的代价。

我发现有趣的是，几乎我访问的每个站点都使用HTTPS（需要安全性）和HTTP（其他位置）。我期望这是由于HTTPS带来的开销，正如其他人已经提到的那样。

见我的回答上一个问题。当最初的问题与JBoss和AJP有关时，答案包括一个mod_rewrite规则集，该规则集将非HTTPS流量重定向到HTTPS。

HTTPS会使您的网站变慢，但不是出于其他人建议的原因。它不会“浪费您的CPU”，而是通过为每个连接的TCP握手添加SSL握手来增加延迟。在需要许多连接来加载页面的情况下（例如，大量图像等），这可能导致性能下降很多，尤其是在您关闭HTTP keepalive的情况下。

整个站点都使用HTTPS无疑会使开发变得容易-HTTPS上的整个站点意味着您的开发人员无需担心哪些位需要使用HTTP和HTTPS，哪些页面需要从一个切换到另一个，以及组成绝对链接对那些等等

以前，我曾在电子商务网站上使用混合功能，并且尝试在适当的页面从安全/不安全切换时非常费力，尤其是当您的网站布局和导航很复杂并且从一个页面重用到另一个页面时（通常在大多数网站上都可以看到）

有关选择仅将整个网站置于HTTPS的用户的示例，请参见paypal.com。但是我注意到银行很少这样做。