Back to Question Center
0

Semalt: https (SSL) místo http pro mobilní uživatele

1 answers:

budu si budovat novou webovou stránku, z obav o soukromí a bezpečnosti, které uvažuji o tom, aby se to stalo pouze pro https.

Bude snadná pro mobilní telefonování pomocí dotazů na média, ale obávám se - zejména u mobilních uživatelů - o zvýšení šířky pásma.

Kolik to bude znamenat zvýšení šířky pásma nebo pomalého načítání? Pro stránky, kde nepředávám citlivé informace, bych měl nechat externí odkazy (například do knihovny jSemalt nebo webového písma) v http?

Semalt put, četl jsem články, že celý web by byl bezpečnější, kdyby vše bylo SSL, ale moje skutečná znalost implementace je omezena na platební brány a přihlašovací stránky a takové. Omlouvám se za otevřenou povahu otázky, nicméně je vítáno, a to i prosté odpovědi na konkrétní otázky - vemer mythos gsm trovaprezzi cellular.

February 7, 2018

(Může vás zajímat tato související otázka týkající se SO: Proveďte úplnou stránku HTTPS / SSL? Jaké problémy s výkonem a osvědčené postupy stále platí v roce 2012?

Kolik to bude znamenat zvýšení šířky pásma nebo pomalé doby načítání?

Po dokončení handshake se šifrování provádí pomocí symetrických kláves. Existuje trochu režie pro záznamy SSL / TLS, ale je to skutečně poměrně malé (podle inženýrů Google , existuje asi 2% síťové režie).

Co je nákladné je handshake (z hlediska CPU i sítě). Bez obnovení relace budete muset získat certifikát serveru (asi 1KB pro cert s 2048bitovým klíčem RSA, záleží to na atributech). Kruhové výlety mohou také zvýšit latenci (a může být pro mobilní zařízení větší problém). Předpokládám, že některé mobilní zařízení přinejmenším podporují obnovení relace.

Největší návštěvnost handshake, kterou jsem viděl, byl způsoben dlouhým seznamem certifikačních autorit v TLS zprávě o vyžádání certifikátu při použití ověřování klientských certifikátů. Bylo nakonfigurováno s výchozím úložištěm důvěryhodnosti (na serveru Java). Dobré nastavení serveru se tomuto problému může vyhnout (při použití ověřování klienta-cert se můžete obvykle omezit na několik certifikačních autorit, které jste ochotni přijmout, z hlediska serveru nepotřebujete výchozí seznam, který v tomto případě mělo více než 100 jmen). Pokud ani vůbec nepoužíváte ověřování klientských certifikátů, ujistěte se, že jej nepovolíte (ani volitelně), takže tento problém nebudete mít.

Pro stránky, na které nepředávám citlivé informace, bych mělnechat externí odkazy (do knihovny jQuery nebo webového písma například)v http?

Ano, nikdy nekombinujte obsah. Zablokuje účel protokolu HTTPS. Problém se smíšeným obsahem spočívá v tom, že již nevíte, na kterou část stránky můžete důvěřovat. Je to problém s rozhraním UI (a mobilní prohlížeče jsou již dost špatné, pokud jde o jasné podmínky zabezpečení).

Můžete použít CDN, které podporují protokol HTTPS, pokud potřebujete ( API Knihovny Google (např. Pro jQuery) https: // . Moderní prohlížeče by měli ve výchozím nastavení ukládat do mezipaměti obsah HTTPS, ačkoli někteří nemusí, v takovém případě můžete použít hlavičku Cache-Control: public . Měli byste také zabránit ukládání do mezipaměti citlivých stránek.

. Pokud je nastaveno připojení https, a když šifrovací podložky na určité stránky velikosti bloku mohou trochu větší.

Doby načítání mohou vzrůst, protože režie při šifrování stránky na konci a dešifrování stránky na konci uživatele. Nemohu říct, kolik, protože neznám hardware a ani jeden z nás neví, jak silné jsou mobilní zařízení uživatele.

Chystám stránky pouze s citlivými informacemi.

HTTPS nenabízí žádnou silnou bezpečnost - protože je zranitelná útokem MiTM. Je to jen trochu těžší (jen trochu). Nevidím výhodný zisk nad náklady na úplný web https.