Grandes sitios web para cosas como bancos (por ejemplo, www.cimbclicks.com.my ) y compras en línea (por ejemplo, www.lazada.com.my ) no parece importarle asegurar su página principal con SSL pero su página de inicio de sesión está protegida con SSL. ¿Existe alguna motivación técnica para no usar HTTPS en la página principal (como un menor rendimiento)?
Esto dice más sobre la fricción en los procesos empresariales que sobre la tecnología.
Para que una empresa configure su sitio web con https en todo el proceso, tienen que ordenar los certificados y la configuración por adelantado. Eso requiere un montón de procesos de administración y seguridad de fondo, todos los cuales agregan fricción al proyecto de implementación que probablemente ya no cuenta con fondos suficientes y está bajo la presión de entregar.
Por lo tanto, conceptualmente es más fácil para el proyecto implementar un sitio web "estándar" y luego preocuparse por la seguridad una vez que hayan demostrado que el sitio básico es lo suficientemente robusto y eficaz.
HTTPS hace que algunas cosas sean más complejas de administrar y pensar en estrategias de almacenamiento en caché de extremo a extremo es un poco más difícil de administrar.
Ninguna de estas cosas es excusa realmente, pero esa es mi opinión, desde la experiencia, sobre el proceso empresarial.
Está cambiando y si cambia el enlace a https encontrará que realmente se ha implementado de modo que tal vez solo sea la forma en que se escribió y comunicó la URL, a menudo por personas que no son expertos. http debería estar deshabilitado por supuesto.
Los servicios como el excelente Cloudflare también ayudan, ya que todos pueden presentar su sitio a través de https, incluso sin obtener su propio certificado (aunque obviamente, todavía necesita al menos un certificado autofirmado para ayudar a proteger el tráfico entre su servidor y Cloudflare).
Este es tu pensamiento con tu cerebro "nerd" e ignorar las diez cosas diferentes que entran en juego cuando hablas de "seguridad".
Estas son actitudes de las personas que dirigen el sitio, sus conjuntos de habilidades, sus horarios de trabajo de producción / negocios sobre cómo poner el sitio fuera de línea para realizar dicho trabajo, etc.
En cuanto a los aspectos técnicos, sí, es absolutamente correcto que todos los sitios deben usar https todo el tiempo y, como menciona "sitios grandes", hay Netflix y otros que siguen esa regla.
Los argumentos de sobrecarga que causan SSL ya no son verdaderos y también lo es el meme de que "solo los inicios de sesión deben ser SSL". Lea esta publicación para obtener más información .
Si el activo tiene algún valor que se vería comprometido por la exposición, no hay una buena razón para mezclar tráfico SSL y no SSL. Podría decirse que incluso si tiene poco valor intrínseco, mientras que las personas tienden a reutilizar las contraseñas, el operador tiene el deber de proteger la contraseña por su valor potencial en otro lugar.
Dado que no es irrazonable esperar que las personas pasen de la parte no-ssl a la parte ssl, existe la posibilidad de un ataque de eliminación de SSL (no todos los navegadores implementan HSTS y la fijación de certificados, no todos los sitios web implementan HSTS y la fijación).
Sí, hay una sobrecarga de rendimiento (si no califico para eso, entonces aparecerá una chispa brillante y dirá que las CPU y los algoritmos de cifrado son mucho más rápidos, pero la sobrecarga se encuentra en los RTT adicionales para la negociación). Pero el impacto en el rendimiento se puede mitigar a un costo comparable al de hospedar y aprovisionar un certificado.
Lea otras preguntas en las etiquetas web-application tls http