HTTPS pour l'ensemble du site
Je travaille sur un site Web assez standard avec un contenu public, ainsi qu'un contenu personnel/personnalisé pour les utilisateurs enregistrés. Je sais que je dois utiliser HTTPS lorsque les utilisateurs se connectent ou envoient les détails de leur carte de crédit. Y a-t-il une raison pour laquelle je ne devrais pas simplement utiliser HTTPS pour l'ensemble du site?
Oui, il y a une raison pour laquelle vous ne devriez pas l'utiliser pour tout le site. Certains navigateurs (en fonction de la marque et de la version) ne mettent pas en cache le contenu des demandes HTTPS sur le disque, ce qui peut sérieusement ralentir la navigation des utilisateurs, car des ressources statiques seront chargées à chaque demande de page (feuilles de style, javascript, images d'en-tête, etc.). . Par exemple, états de Mozilla cela:
"La mise en cache sur disque enregistre des copies des fichiers téléchargés sur le disque dur. Ainsi, il n'est pas nécessaire de télécharger ces fichiers pour les afficher à nouveau. Ces pages peuvent être consultées par quiconque disposant d'une autorisation d'accès au dossier cache. Les pages transmises avec cryptage SSL contiennent souvent des informations sensibles. La mise en cache de ces pages sur le disque peut présenter un risque pour la confidentialité. Cette préférence détermine s'il faut mettre en cache sur le disque les pages transmises avec le cryptage SSL. "
Comment les navigateurs individuels mettent en cache le protocole HTTPS quelque peu contesté mais il reste encore de bonnes chances que de nombreux utilisateurs verront la mise en cache sur le disque désactivée pour les demandes HTTPS.
Deuxièmement, HTTPS requiert un " poignée de main " pour chaque demande, ce qui entraîne des frais généraux, ce qui aura des conséquences sur les performances et augmentera les demandes (généralement de quelques Ko seulement - mais c'est pour chaque demande, ce qui ajoute ). HTTP KeepAlive peut limiter cela, mais cela reste une surcharge dont vous n'avez pas besoin pour le contenu non sécurisé.
Si vous envisagez d'exécuter le protocole SSL complet, assurez-vous que tous les services tiers hébergés que vous utilisez (serveur publicitaire, outils d'analyse, de partage, etc.) disposent de versions SSL ou que vous obtiendrez des avertissements de contenu hétérogènes sur certains navigateurs.
Un autre problème est que tout vous desservez à partir de toute la page doit alors passer par SSL, y compris les ressources tierces. Nous avons constaté que le problème est réel avec YouTube, par exemple. Puisque Google ne rend pas les vidéos YouTube disponibles via SSL, cela signifie que toute vidéo YouTube que vous faites souhaitez incorporer dans une page de votre site provoquera le message "cette page contient un contenu sécurisé et non sécurisé". Attention. Bien que cela soit subtile dans la plupart des navigateurs, c’est un dialogue énorme dans IE qui peut amener certains utilisateurs à abandonner votre site assez rapidement, en saisissant leurs données de peur.
Vous devriez également penser à la croissance. Une fois que vous avez plus d’un serveur Web, vous devez décider: Voulez-vous fournir le protocole HTTPS sur chaque serveur et, dans l’affirmative, utiliserez-vous le même certificat ou un même certificat par serveur, comme cela est souvent recommandé? J'ai vu des configurations plus courantes où il y a moins de serveurs HTTPS, car elles ne sont généralement utilisées que pour le traitement de données confidentielles et davantage de serveurs HTTP, car ceux-ci ont tendance à recevoir la plus grande partie du trafic. HTTPS ajoute un peu plus de complexité à chacune de vos configurations. Juste quelque chose à garder à l'esprit.
Selon moi, la seule raison de ne pas utiliser HTTPS sur l'ensemble de votre site est que cela ralentira votre serveur et les visiteurs auront une expérience de navigation légèrement plus lente. Cela étant dit, il y a des avantages. Plus précisément:
- Vous n'aurez jamais à vous soucier de mettre des données que vous souhaitez garder en sécurité sur une page de votre site. Tu ne peux pas oublier.
- Les utilisateurs remarqueront que votre site est entièrement crypté et qu'ils peuvent vous donner plus d'informations en toute sécurité.
- Les utilisateurs savent que votre site Web appartient à votre entreprise et n'a pas été repris.
En plus d'aider vos développeurs à ne plus avoir à vous soucier d'afficher des données sécurisées sur une page non chiffrée, il n'y a vraiment aucune raison technique d'utiliser HTTPS sur chaque page. Selon le même raisonnement, il y a très peu de raisons de ne pas le faire.
enfin et surtout, plusieurs employeurs n’aiment pas que leurs employés naviguent sur des sites https "cryptés". C’est le cas des sociétés et organisations de défense/sécurité. Ainsi, si vous avez un site Web "https uniquement", vous risquez de perdre certains de ces visiteurs/clients, car leur réseau ne leur permettra tout simplement pas de naviguer sur votre site.