Мы в процессе перемещения нашей веб-архитектуры в новую среду. Сюда входят десятки различных сайтов, начиная от почти полностью статических и динамических сайтов, требующих аутентификации и содержащих конфиденциальный контент. Наши администраторы веб-сервера (без каких-либо вкладов от команды разработчиков) решили сделать его стандартом в новой среде, чтобы заставить SSL для всего. Я не согласен с этим решением и хотел бы иметь как можно больше знаний, когда я сажусь, чтобы обсудить это. Вот что я до сих пор:
- Для каждого сайта сертификат SSL имеет прямую стоимость. У нас есть среда dev, qa и prod, и, следовательно, это три сертификата, которые необходимы для каждого сайта.
- Для большинства страниц содержимое не является безопасным, и принудительное SSL будет заставлять запросы страницы занимать больше времени на сервере из-за шифрования и дешифрования.
- Из того, что я понимаю, большинство браузеров не кэшируют страницы, которые SSL'ed и, следовательно, снова, запросы страниц будут занимать больше времени
- У старых браузеров есть проблемы с загрузкой файлов, когда они SSL'ed
У меня нет проблемы с принудительным SSL, когда пользователи проходят аутентификацию или они запрашивают конфиденциальные данные. Тем не менее, я думаю, что принудительное SSL по умолчанию на всех сайтах немного.