2010-04-30 5 views

risposta

6

HTTPS significa:

  • è necessario un server configurato correttamente
  • è necessario un certificato sul server
    • E, per ottenere non un avvertimento nel browser, è necessario un certificato firmato da qualche autorità fidata
    • E questo costa un po 'di soldi
  • Un po 'piccolo di impatto sulle prestazioni
    • Il server deve criptare i dati
    • il cliente deve de-cripta
  • avrei scommesso HTTPS significa meno caching
    • Forse su il lato client?
    • E, molto probabilmente, su proxy?

Se non avete bisogno di HTTPS ... Be ', perché usarlo?

+0

qualcuno può confermare/confutare il lato client di memorizzazione nella cache meno con https? – Tobias

+0

Non c'è nessun problema di memorizzazione nella cache che posso immaginare. Non so perché il cliente decida di non memorizzare nella cache. E se stai attraversando un proxy, quel proxy * è * l'endpoint SSL, quindi non c'è motivo per cui non memorizzerebbe la cache. – Peeja

+0

Inoltre, i primi due punti sono discutibili. L'intero punto di passaggio delle risorse a HTTPS è di mantenere la pagina completamente sicura quando la pagina stessa viene servita su HTTPS. La configurazione del server e del certificato dovrebbe già essere risolta se si verifica questo problema. L'unico problema che posso immaginare è la performance. – Peeja

2

C'è meno sovraccarico se si utilizza semplicemente http per servire i file di inclusione javascript. Tuttavia, se stai utilizzando un sito su https, dovrai caricare tutto su https, inclusi i file di inclusione di JavaScript.

1

Perché è possibile ottenere la pagina con e senza SSL.

Se si mischiano richieste protette e non sicure in una pagina, l'utente riceverà un avviso, quindi quando la pagina viene richiesta utilizzando https, dovrà richiedere gli script utilizzando anche https. Questo viene solitamente eseguito automaticamente quando si richiedono script dallo stesso sito con un URL relativo, ma se si deve utilizzare un URL completo per richiedere uno script da un dominio diverso, il protocollo deve essere impostato dinamicamente.

+1

Questo non è vero. Ricevi avvisi solo se carichi una pagina da HTTPS e poi quella pagina carica il contenuto su HTTP.Se carichi una pagina su HTTP e la pagina carica il contenuto su HTTPS, non viene visualizzato alcun avviso. –

+0

Hai un riferimento per quel comportamento specifico? Browser diversi gestiscono i contenuti misti in modi diversi. – Guffa

+1

Nessun riferimento, solo esperienza. Chrome, FF, Safari, IE10 e IE9 aggiornati di recente sembrano essere a posto. Quindi il mio commento potrebbe non riflettere il 100% dei browser. –