Все сайты должны использовать SSL по умолчанию?
Мы находимся в процессе перемещения нашей веб-архитектуры к новой среде. Включенный десятки различных сайтов в пределах от почти абсолютно статического на динамические сайты, требующие аутентификации и несущие деликатный характер. Наши администраторы веб-сервера имеют (без любого входа от группы разработчиков), решил сделать это стандартом в новой среде для принуждения SSL для всего. Я не соглашаюсь с этим решением и хотел бы иметь как можно больше знания, когда я сажусь для обсуждения его. Вот то, что я имею до сих пор:
- Для каждого сайта сертификат SSL имеет прямые затраты. Мы имеем dev, обеспечение качества, и подталкиваем среду и таким образом который является тремя сертификатами, которые необходимы для каждого сайта
- Для большинства страниц содержание не безопасно, и вызывающий SSL выполнил бы запросы страницы, занимают больше времени на сервере из-за шифрования и дешифрования
- Из того, что я понимаю, большинство браузеров, чтобы не сделать страниц кэша, которые являются SSL'ed и таким образом снова, запросы страницы займут больше времени
- Более старые браузеры имеют проблемы с загрузками файла, когда они - SSL'ed
У меня нет проблемы с принуждением SSL, когда пользователи проходят проверку подлинности, или они запрашивают уязвимые данные. Однако я думаю, вызывая SSL по умолчанию на всех сайтах, слишком.
4 ответа
SSL может ингибировать кэширование уровня сети. Для этого есть обходные пути, но это может означать, что несколько компьютеров в той же сети должны повторно загрузить ресурсы страницы. Это может увеличить сетевую нагрузку на обоих концах. Кэширование уровня браузера не является проблемой в современных браузерах.
SSL усложняет использование так называемых «виртуальных доменов». Традиционно для формирования подключения SSL браузер и сервер должны работать на одно и то же доменное имя. Это сделало невозможным размещение более одного сертификата SSL на одном IP, потому что сервер ответит неверным сертификатом. Реализации Индикация имени сервера (расширение протокола TLS, которое использование SSL) исправило многие проблемы с этим.
О чистой производительности симметричный шифрование и проверка целостности на туннелированные данные не очень дороги; Если ваш сервер не может шифровать и расшифровать на скорости сети, то у вас есть собственное оптическое волокно Бога, или вы должны подумать о замене этих I486. Однако инициация SSL-соединения, известного как «рукопожатие», является немного дороже, и может подразумевать узкое место работы производительности на тяжелых нагрузках (когда есть сотни связей в секунду, или более). К счастью, данный экземпляр браузера повторно использует туннели и SSL-сеансы, поэтому это не проблема, если у вас есть только несколько десятков пользователей.
В целом, положить SSL повсюду выглядит как способ получить «теплое нечеткое чувство» на безопасность. Это не хорошо. Обычно это означает, что, концентрируясь на нерелевантных, администраторы будут более склонны пренебрегать фактическими вопросами безопасности. Они также сделают систему более сложной для обслуживания, что делает его труднее диагностировать и исправлять проблемы. Обратите внимание, что с точки зрения администраторов это делает свою работу более безопасной, поскольку она увеличивает стоимость стрельбы и замены их.
В ответ на Ответ Томаса :
Для каждого сайта сертификат SSL имеет прямую стоимость. У нас есть среда DEV, QA и PROD и, таким образом, это три сертификата, которые необходимы для каждого сайта
вряд ли правда. Вам не нужно иметь каждую разработку SSL для SSL SEV и QA с действительными текущими сертификатами. Вы - возможно - хотите одного постановки сайта с действительным сертификатом. Но за пределы Apache Front-End, ваш задний конец не должен знать, что участвует SSL. Вы не тестируете ничего уникального или особенного, покупая сертификаты DEV.
Также стоимость номинальная. Вы тратите больше денег на разговор, чем сертификаты на самом деле стоят.
Для большинства страниц содержимое не является безопасным, и принуждает SSL, сделает запросы страниц дольше на сервере из-за шифрования и расшифровки
. Вы измерили? Вы можете обнаружить, что трудно измерить, потому что изменчивость интернет-скоростей превышает стоимость обработки SSL.
Из того, что я понимаю, большинство браузеров не кэшируют страницы, которые являются SSL, и, следовательно, еще раз, запросы страницы займут больше времени
, вы измерили это?
Старые браузеры имеют проблемы с загрузками файлов, когда Они действительно SSL
действительно? Какой конкретный «старший браузер» вы планируете поддержать, что имеет эту проблему? Если вы не можете найти его, и думаете, что кто-то, где-то, возможно, может иметь эту проблему, вы можете быть чрезмерно проведены. Проверьте свои журналы и посмотрите, какие браузеры ваши клиенты на самом деле используют, а затем определите, есть ли у вас проблемы.
Я согласен, что «SSL везде» не очень хороший подход. Я думаю, вам нужен хотя бы один Non-SSL Port-80 «Добро пожаловать». Но я не уверен, что ваш нынешний набор вопросов солидных причин. Я думаю, что вам нужно значительно больше измерений, чтобы сделать случай, когда SSL фактически включает в себя реальные затраты или реальные результаты.
Я не думаю, что вы должны SSL все свои сайты и определенно вам не нужно покупать сертификаты для ваших сред. Если вы хотите / нуждаетесь в SSL-сертификате для Dev, его можно легко сгенерировать, и в большинстве случаев будет целенаправлена для этой среды. Другая возможность состоит в том, что вы можете купить сертификат подстановки и установить вас серверы DEV в одном из поддоменов, таким образом вы можете иметь тот же сертификат для обеих средов, но еще раз: это пустая трата денег, если вы покупаете сертификат подстановки (которые больше дорогой) Просто иметь разработку на ней. Имеет смысл, если у вас есть несколько субдоменов в результате того, что нужно потрясать.
Что касается скорости: Да, это немного проблемы, но не то, что значительна. Ответы SSL не кэшируются, поэтому используя их немного увеличьте свои серверы, но я думаю, что это то, что администратор должен быть в курсе.
Это первое, что нужно спросить себя: что дает вам SSL? Это дает вам уверенность в том, что никто и никакое приложение не могут «перехватить» трафик и увидеть, что происходит между веб-сервером и браузером. Стоимость - это реальная стоимость покупки SSL-сертификата и текущая стоимость небольшого увеличения скорости загрузки. Вы упомянули, что в старых версиях браузеров возникают проблемы с загрузкой файлов по протоколу SSL. Я не могу об этом говорить и не особо беспокоюсь об этом. С точки зрения безопасности у вас есть еще одно беспокойство. Современные межсетевые экраны отслеживают трафик в поисках различных попыток взлома. SSL не позволяет брандмауэру контролировать эту связь, поэтому разработчику приложения / веб-администратору нужно еще больше заботиться о защите своего приложения и сайтов от различных попыток взлома. Короче говоря, следует шифровать только те сообщения, которые действительно в этом нуждаются.