Я новичок в веб-безопасности.
Почему я хочу использовать HTTP и затем переключаться на HTTPS для некоторых подключений?
Почему бы не придерживаться HTTPS полностью?
HTTPS вместо HTTP?
Ответ 1
Есть интересные улучшения конфигурации, которые могут сделать SSL/TLS менее дорогостоящими, как описано в этом документе (по-видимому, основанное при работе от команды из Google: Adam Langley, Nagendra Modadugu и Wan-Teh Chang): http://www.imperialviolet.org/2010/06/25/overclocking-ssl.html
Если есть один момент, который мы хотим сообщать миру, что SSL/TLS не является вычислительным дорогой. Десять лет назад возможно, это было правдой, но это просто не так. Вы тоже можете позволить включить HTTPS для ваших пользователей.
В январе этого года (2010) Gmail переключился на использование HTTPS для всего по умолчанию. Раньше это было введено как вариант, но теперь все наших пользователей используют HTTPS для электронной почты между браузерами и Google, все время. Чтобы сделать это нам пришлось развернуть без дополнительных машин и специального оборудования. На наши производственные интерфейсные машины, SSL/TLS составляет менее 1% от загрузка процессора, менее 10 КБ памяти за соединение и менее 2% сетевые накладные расходы. Многие люди верят что SSL занимает много процессорного времени и мы надеемся, что вышеуказанные цифры (общедоступные для в первый раз) поможет рассеять что.
Если вы перестанете читать сейчас, вам нужно только помнить одно: SSL/TLS не вычислительно дорогой.
Одно ложное чувство безопасности при использовании HTTPS только для страниц входа - это то, что вы оставляете дверь открытой для захвата сеанса (правда, это лучше, чем отправка имени пользователя/пароля в любом случае); это недавно упростило (или более популярно) использование Firesheep, например (хотя сама проблема была там намного дольше).
Еще одна проблема, которая может замедлить работу HTTPS, заключается в том, что некоторые браузеры могут не кэшировать содержимое, которое они получают через HTTPS, поэтому им придется загружать их снова (например, фоновые изображения для часто посещаемых сайтов).
При этом, если вам не нужна безопасность на транспорте (чтобы злоумышленники не видели или не изменяли данные, которые обменивались, в любом случае), простой HTTP - это нормально.
Ответ 2
В основном причины производительности. SSL требует дополнительного (серверного) времени процессора.
Изменить: Однако в наши дни эти накладные расходы становятся менее проблематичными, некоторые крупные сайты уже перешли на HTTPS-за-умолчанию (например, GMail - см. ответ Бруно).
Ответ 3
Если вы не передаете данные, которые должны быть защищены, служебные данные HTTPS не нужны.
Проверьте этот поток SO для очень подробного обсуждения различий. HTTP против производительности HTTPS
Ответ 4
И не менее важная вещь. Брандмауэр, не забывайте, что обычно HTTPS реализован на порту 443. В некоторых организациях такие порты не настроены в брандмауэре или прозрачных прокси.
Ответ 5
HTTPS может быть очень медленным и ненужным для таких вещей, как изображения.