Chúng tôi đang di chuyển kiến ​​trúc mạng của mình sang môi trường mới. Chúng bao gồm hàng chục trang web khác nhau, từ các trang web gần như hoàn toàn tĩnh đến các trang động yêu cầu xác thực và chứa nội dung nhạy cảm. Quản trị viên máy chủ web của chúng tôi (không có bất kỳ thông tin đầu vào nào từ nhóm phát triển) đã quyết định biến điều này thành tiêu chuẩn trong môi trường mới, buộc sử dụng SSL cho mọi thứ. Tôi không đồng ý với quyết định này và muốn biết càng nhiều càng tốt về tình hình khi chúng ta ngồi lại thảo luận. Đây là những gì tôi có cho đến nay:

• Đối với mỗi trang web, có một chi phí trực tiếp cho chứng chỉ SSL. Chúng tôi có môi trường phát triển, QA và sản xuất nên đây là ba chứng chỉ cần thiết cho mỗi cơ sở
• Đối với hầu hết các trang, nội dung không được bảo mật và việc buộc SSL sẽ khiến các yêu cầu trang mất nhiều thời gian hơn trên máy chủ do mã hóa và giải mã.
• Theo tôi biết, hầu hết các trình duyệt sẽ không lưu vào bộ đệm các trang được xử lý SSL, do đó yêu cầu trang sẽ mất nhiều thời gian hơn
• Các trình duyệt cũ gặp vấn đề về tải file khi sử dụng SSL

Không có vấn đề gì trong việc buộc sử dụng SSL khi người dùng đang xác thực hoặc yêu cầu dữ liệu nhạy cảm. Tuy nhiên, tôi nghĩ việc buộc SSL trên tất cả các trang web theo mặc định là hơi nhiều.

câu trả lời hay nhất

回复Câu trả lời của Thomas :

Đối với mỗi trang web, chứng chỉ SSL có chi phí trực tiếp. Chúng tôi có môi trường dev, qa và prod và do đó, đó là ba chứng chỉ cần thiết cho mỗi trang web.

Thật khó để nói điều đó là đúng. Bạn không cần yêu cầu mọi nhà phát triển và nhân viên QA sử dụng chứng chỉ hiện tại, hợp lệ để hỗ trợ SSL. Bạn - có thể - muốn một trang dàn dựng có chứng chỉ hợp lệ. Nhưng bên ngoài giao diện người dùng Apache, phần phụ trợ của bạn sẽ không biết rằng SSL có liên quan. Bạn không thử nghiệm bất cứ điều gì độc đáo hoặc đặc biệt bằng cách mua chứng chỉ phát triển.

Hơn nữa, các chi phí là danh nghĩa. Bạn chi tiêu cho cuộc trò chuyện nhiều hơn chi phí thực sự của chứng chỉ.

Đối với phần lớn các trang, nội dung không an toàn và việc buộc SSL sẽ khiến các yêu cầu trang mất nhiều thời gian hơn trên máy chủ do mã hóa và giải mã

Một chút. Bạn đã đo nó chưa? Bạn có thể thấy khó đo lường điều này vì sự thay đổi của tốc độ Internet lớn hơn chi phí xử lý SSL.

Theo những gì tôi hiểu, hầu hết các trình duyệt không lưu vào bộ đệm các trang được SSL và do đó, các yêu cầu trang sẽ mất nhiều thời gian hơn

Một lần nữa, bạn đã thử nghiệm điều này chưa?

Các trình duyệt cũ hơn gặp sự cố khi tải xuống tệp khi chúng được SSL

Thật sự? Bạn dự định hỗ trợ "trình duyệt cũ" cụ thể nào gặp phải vấn đề này? Nếu bạn không thể tìm thấy và nghĩ rằng ai đó ở đâu đó có thể gặp phải vấn đề này, có thể bạn đang sử dụng kỹ thuật quá mức. Kiểm tra nhật ký của bạn và xem khách hàng của bạnthật sựduyệt bạn đang sử dụng và xác định xem bạn có gặp vấn đề gì không.

Tôi đồng ý rằng "SSL ở mọi nơi" không phải là một cách tiếp cận tốt. Tôi nghĩ bạn cần ít nhất một trang "chào mừng" không có cổng SSL 80. Nhưng tôi không chắc có lý do chính đáng cho loạt câu hỏi hiện tại của bạn hay không. Tôi nghĩ bạn cần nhiều phép đo hơn để chứng minh rằng SSL thực sự liên quan đến chi phí thực hoặc tác động hiệu suất thực.

Về mã hóa - tất cả các trang web có nên sử dụng SSL theo mặc định không? , chúng tôi đã tìm thấy một câu hỏi tương tự trên Stack Overflow: https://stackoverflow.com/questions/2177159/