La estrategia cautelosa sería hacer SSL en todas partes, luego piense en cambiar a no SSL para algunas páginas si (y solo si) surgen problemas de rendimiento, eso Es probable que se solucione con ausencia de SSL. No usar SSL significa que el atacante pasivo puede ver todo el tráfico, y los atacantes activos pueden modificar a voluntad todas las partes que no son SSL, que pueden tener profundas ramificaciones. Por lo tanto, esto no es algo que deba hacerse a la ligera. La combinación de contenido SSL y no SSL en la misma página también tiende a producir advertencias o roturas en el navegador, por lo que hacer SSL parcial puede ser un desafío.
Los "problemas de rendimiento" que pueden surgir de forma plausible en presencia de un mundo completamente SSL se refieren al almacenamiento en caché; con SSL, los proxies transparentes que las solicitudes de datos de la memoria caché sobre la marcha, sin que los clientes se den cuenta, ya no pueden funcionar. A los grandes proveedores de Internet les gustan los proxies transparentes. Por otro lado, los "problemas de rendimiento" que vienen a la mente de la mayoría de los administradores de sistemas (a saber, la "obviamente" gran sobrecarga de cifrado) son, de hecho, en su mayoría míticas.
La práctica de la industria es, por supuesto, completamente diferente. La industria, en general, se queda sin SSL, luego la agrega de manera renuente, mucho después, solo para algunas páginas, y solo después de haber gastado todas las excusas sobre cómo los ataques a las páginas que no son SSL no son su problema, ya que son del lado del cliente. . Por alguna razón, muchos administradores de sistemas piensan en cambiar a SSL con la misma mentalidad que un ambientalista incondicional que considera reemplazar una central eléctrica de carbón por una nuclear.