web-dev-qa-db-ja.com

サイト全体のHTTPS

私は、公開コンテンツに加えて、登録ユーザー向けの個人/カスタマイズされたコンテンツを備えた、かなり標準的なWebサイトで作業しています。ユーザーがログインするとき、またはクレジットカードの詳細を送信するときにHTTPSを使用する必要があることは知っています。サイト全体にHTTPSを使用しないほうがよい理由はありますか?

10
BenV

はい、サイト全体に使用すべきではない理由があります。一部のブラウザ(ブランドとバージョンによって異なります)は、HTTPSリクエストのコンテンツをディスクにキャッシュしません。これにより、ページリクエスト(スタイルシート、javascript、ヘッダー画像など)ごとに静的アセットが読み込まれるため、ユーザーのブラウジングエクスペリエンスが大幅に低下する可能性があります。たとえば、 Mozilla states that:

「ディスクキャッシングは、ダウンロードしたファイルのコピーをハードドライブに保存するため、ダウンロードして再表示する必要はありません。これらのページは、キャッシュフォルダーへのアクセス許可を持つ誰でも閲覧できます。これらのページをディスクにキャッシュすると、プライバシーのリスクが生じる可能性があります。この設定は、SSL暗号化で送信されたディスクページにキャッシュするかどうかを制御します。

個々のブラウザがHTTPSをキャッシュする方法は やや議論の余地があります ですが、HTTPSリクエストに対して多くのユーザーがディスクキャッシュを無効にする可能性は依然として高いです。

第二に、HTTPSはすべてのリクエストに「 handshake 」を必要とし、これにはパフォーマンスに影響を与え、リクエストを大きくするオーバーヘッドがあります(通常は数KBだけですが、リクエストごとにこれが加算されます) )。 HTTP KeepAlive はこれを制限できますが、安全でないコンテンツには必要ないオーバーヘッドです。

12
Dan Diplo

完全なSSLの実行を計画している場合は、使用しているホストされているサードパーティサービス(広告サーバー、分析、共有ツールなど)でSSLバージョンが使用可能であることを確認してください。そうしないと、一部のブラウザーで混合コンテンツの警告が表示されます。

10
JasonBirch

別の問題は、everythingあなたがanyページからサービスを提供し、サードパーティのリソースを含むSSLを経由する必要があることです。これは、たとえばYouTubeのようなものの本当の問題であることがわかりました。 GoogleはYouTubeビデオをSSL経由で利用できないようにしているため、doをサイトのページに埋め込むと、「このページには安全なコンテンツと安全でないコンテンツが含まれます」警告。これはほとんどのブラウザでは微妙ですが、IEの巨大なダイアログであり、一部のユーザーがサイトをすぐに放棄し、恐れてデータを胸に抱きかかえる可能性があります。

5
Bobby Jack

成長についても考える必要があります。一度に複数のWebサーバーを用意したら、次のことを決定する必要があります。個々のサーバーでHTTPSを提供しますか? HTTPSサーバーはトラフィックの大部分を受信する傾向があるため、一般的に機密情報の詳細とHTTPサーバーの処理にのみ使用されるため、HTTPSサーバーの数が少ない一般的な設定を見てきました。 HTTPSを使用すると、セットアップのそれぞれが少し複雑になります。心に留めておいてください。

2
gabe.

ご覧のとおり、サイト全体でHTTPSを使用しない唯一の理由は、一部のサーバーの速度が低下し、訪問者のブラウジングエクスペリエンスがわずかに遅くなることです。そうは言っても、利点があります。具体的には:

  1. 安全に保ちたいデータをサイトのどのページに置いても心配する必要はありません。忘れられない。
  2. ユーザーはあなたのサイトが完全に暗号化されていることに気付くでしょう、そしてあなたに彼らの情報を与えることでより安全に感じるかもしれません。
  3. ユーザーは、あなたのウェブサイトがあなたの会社に属し、引き継がれていないことを知っています。

開発者が暗号化されていないページに安全なデータを表示することを簡単に心配できるようにするだけでなく、すべてのページでHTTPSを使用する技術的理由はありません。同じ理由で、そうしない理由はほとんどありません。

1
Ben Hoffman

最後になりましたが、いくつかの雇用者は、従業員が「暗号化された」httpsサイトを閲覧することを好みません。これは、防衛/セキュリティ会社および組織の場合です。「httpsのみ」のWebサイトがある場合、これらの訪問者/顧客の一部は、彼らのネットワークが単にあなたのサイトを閲覧させないため、失う可能性があります。

0
Radek