强制整个网站使用 HTTPS 是好做法还是坏做法？

Question

我有一个网站，当所有内容都采用 HTTPS（身份验证、Web 服务等）时，该网站运行良好。 如果我混合 http 和 https，则需要更多编码（跨域问题）。

我似乎没有看到很多完全采用 HTTPS 的网站，所以我想知道这样做是否是一个坏主意？

编辑：站点将托管在 Azure 云上，其中带宽和 CPU 使用率可能是一个问题...

10 年后编辑：现在正确的答案是仅使用 https。

Answer 1

https 会丢失很多功能（主要与性能相关）

• 代理无法缓存页面
• 您无法使用反向代理来提高性能
• 您无法在同一 IP 地址上托管多个域
• 显然，加密会消耗 CPU

也许这对您来说不是问题，这实际上取决于要求

Answer 2

HTTPS 会降低服务器吞吐量，因此如果您的硬件无法应对它，这可能不是一个好主意。 您可能会发现这篇文章很有用。 本文（学术）还讨论了HTTPS 的开销。

Answer 3

如果您有来自 HTTPS 页面的 HTTP 请求，您将强制用户确认不安全数据的加载。 在我使用的一些网站上很烦人。

Answer 4

这个问题，尤其是答案已经过时。 此问题应标记为：，以便它不再出现在搜索结果中。

为了使此答案具有相关性：

1. Google 现在会对未能使用 TLS/https 的网站搜索排名进行惩罚。 您还会因重复内容而受到排名处罚，因此请小心将页面EITHER提供为httpOR https 但绝不能两者兼而有之（或者使用准确的规范标签！）

2. Google 还积极表明不安全的连接，这会对转化产生负面影响吓跑潜在用户。

3. 这是为了追求仅 TLS 的网络/互联网，这是一件好事。 TLS 不仅仅是保证您的密码安全，而是保证您整个面向世界的环境的安全和真实。

4. “性能损失”神话实际上只是基于过时的过时技术。 这是一个比较，显示 TLS 比 HTTP 更快（但是应该注意的是，该页面也加密HTTP/2 HTTPS 与纯文本 HTTP/1.1 的比较）。

5. 使用 LetsEncrypt（如果您还没有证书）。

6. 如果您确实有证书，请做好准备并在任何地方使用 HTTPS。

   如果

TL;DR，在 2019 年，在站点范围内使用 TLS 是理想的选择，并且建议也使用 HTTP/2。

</soapbox>

Answer 5

如果您没有副作用，那么您现在可能没问题，并且可能会很高兴不在不需要的地方创建工作。

然而，没有理由对所有流量进行加密。 当然，登录凭据或其他敏感数据也是如此。 您将失去的主要内容之一是下游缓存。 您的服务器、中间 ISP 和用户无法缓存 https。 这可能并不完全相关，因为它表明您只是提供服务。 但是，这完全取决于您的设置以及是否有缓存的机会以及性能是否是一个问题。

Answer 6

使用全 HTTPS 是一个好主意 - 或者至少为知识渊博的用户提供全 HTTPS 的选项。

如果在某些情况下 HTTPS 完全无用，并且在这些情况下您发现性能下降，那么您才会默认或允许非 HTTPS。

Answer 7

我讨厌遇到毫无意义的全 https 网站，这些网站不处理任何真正需要加密的内容。 主要是因为它们似乎都比我访问的其他网站慢 10 倍。 就像developer.mozilla.org 上的大多数文档页面一样，它会无缘无故地强制您使用 https 来查看它，而且加载总是需要很长时间。