HTTPSを使用することの欠点
最近 GoogleはHTTPS証明書がその検索ランキングで肯定的なシグナルとして使用されることを示しました 。
これにより、新しいサイトにHTTPS証明書を適用する必要があるかどうかについて、社内で議論が生じています。
ただし、当社のサイトにはログインの詳細は含まれておらず、ユーザーデータは含まれておらず、静的コンテンツです。
これは、Googleが小さな要素としてのみ使用されると述べているという事実と相まって、それはやり過ぎであり、必要ではないように感じることを意味します。
しかし、会社の他の人は「害は何ですか、それは助けることができるだけです」と言っています。
コスト以外に、HTTPSの欠点はありますか?
HTTPSを使用すると、機密性(暗号化)、認証(アイデンティティ)、およびintegrity(改ざん防止接続)。
あなたはあなたのケースの最初の1つについてはそれほど気にしませんが、あなたは2番目の2つについて気にする必要があります。 「識別」の部分は特定のDNS攻撃から暗黙的に保護しますが、鶏と卵の問題があります(したがって [〜#〜] hsts [〜#〜] )。 「緑のURLバー」などのナンセンスなものもありますが、それはほとんどサイドショーです。
HTTPSには少なくとも次の欠点があります。
- 両側で遅い(ただし、それほどではなく、帯域幅の制約によって隠されている可能性がある)
- 待ち時間が長くなります(往復回数は多くなりますが、それ以上はありません)。これは [〜#〜] spdy [〜#〜] で最小化できます
- 正当な分析とトラブルシューティングを複雑にします(例:パケットキャプチャ)
- それmay一部のユーザーがサイトにアクセスできないようにします(企業ポリシー、コンテンツスキャンなど)
- 証明書とCAチェーンは実際に接続オーバーヘッドを増加させる可能性があります( this などの潜在的な回避策があります)
- あなたはCAに対処しなければならず、更新に対処するための管理プロセスを持っています(残念ながら、実際には思ったより難しい)
- より多くのプロトコルは、より多くの構成、より多くのソフトウェア、そしてより大きな 攻撃面 を意味します
(あまり明白でない欠点は、PKI/CAトレイン全体に乗り込むことですが、今日はそこに行きません...)
コスト以外に、HTTPSの欠点はありますか?
はい、HTTPSトラフィックはサードパーティのプロキシではキャッシュできません。コンテンツが非常にキャッシュ可能であり(ほとんどの場合、サイトが静的コンテンツである場合)、インターネット接続が遅い多くのユーザーがいる場合(たとえば、開発途上国のほとんどの人は、低速で輻輳したモバイルネットワークのみに依存している)、 ISP、モバイルプロバイダー、または企業/大学のネットワークは、ローカルにキャッシュされた結果を返すことができません。代わりに、同じコンテンツが近隣で何千回もリクエストされた場合でも、すべてのサーバーがサーバーに到達する必要があります。
これらのユーザーがISPのプロキシ証明書をインストールする場合、これは少し軽減できます。これにより、ISPは基本的にユーザーの権限でMITMを実行できますが、これにより、実際にHTTPSのセキュリティが必要なサイトのセキュリティが大幅に低下します。
HTTPSは、機密データがネットワーク経由で渡されなくても、引き続き役立ちます。 SSLはIDも保証するため、クライアントは、情報が実際には他人ではなくあなたからのものであることを認識しています。
長い間、唯一の欠点はパフォーマンスでした。しかし、SSL/TLSの実装が改善され、テクノロジーが進歩したため、これは現在ほとんど姿を消しています。詳細な説明は here を確認してください。
HTTPSはSSL接続内のHTTPです。つまり、別のレイヤーがあります。これは問題となる可能性のあるオーバーヘッドをもたらします TLS/SSLを使用する正当な理由はありません を参照してください。
追加のレイヤーとして、HTTPのすべてのサーバー側の問題(アプリケーションレベルのDOS this など)とSSLの問題( ヒアブリード )の上に。
これは、サーバーの攻撃面を増やすことを犠牲にして、クライアントとサーバー間のデータ転送を保護することを意味します。無料のランチはありません:(
SSLに対する反対意見としてこれを理解しないでください。トランスポート層の保護は非常に重要であり、明らかに機密データ(プライバシーなど)がない場合にも利点があります。ただし、攻撃対象領域を増やすことに注意し、SSLに関連する問題を処理する準備をする必要があります。