Desventajas al usar HTTPS [duplicado]

HTTPS le otorga a usted confidencialidad (cifrado), autenticación (identidad) e integridad (conexiones a prueba de falsificaciones).

No te importa mucho el primero en tu caso, pero deberías preocuparte por el segundo. La parte de "identidad" lo protege implícitamente de ciertos ataques de DNS, pero existe el problema del pollo y el huevo (por lo tanto, HSTS ). También está la "barra de URL verde" y todas esas tonterías, pero eso es principalmente un espectáculo secundario.

HTTPS tiene al menos los siguientes inconvenientes:

• es más lento en ambos lados (pero no mucho, y posiblemente oculto por restricciones de ancho de banda)
• tiene una latencia más alta (más viajes de ida y vuelta, pero no muchos más), esto se puede minimizar con SPDY
• complica el análisis y la solución de problemas legítimos (por ejemplo, la captura de paquetes)
• puede evitar que algunos usuarios accedan a su sitio (política corporativa, análisis de contenido, etc.)
• el certificado y la cadena de CA pueden agregarse a los gastos generales de conexión (hay posibles soluciones alternativas como este )
• tiene que lidiar con una CA y tiene un proceso administrativo para lidiar con las renovaciones (lamentablemente más difícil en la práctica de lo que parece)
• más protocolos significa más configuración, más software y una mayor superficie de ataque

(Un inconveniente menos tangible es subir a bordo de todo el tren PKI / CA, pero no vayamos hoy ...)

  

Aparte del costo, ¿existen desventajas en el HTTPS?

Sí, el tráfico HTTPS no puede ser almacenado en caché por proxies de terceros. Si su contenido es altamente almacenable en caché (muy probablemente si su sitio es en su mayoría contenido estático) y tiene muchos usuarios que tienen una conexión a internet más lenta (por ejemplo, la mayoría de las personas en países en desarrollo dependen únicamente de una red móvil lenta y congestionada), sus ISP o proveedores móviles o red corporativa / universitaria no pueden devolver un resultado local almacenado en caché. En su lugar, todos tienen que recorrer todo el camino para llegar a su servidor, incluso cuando se ha solicitado el mismo contenido miles de veces en el vecindario.

Esto se puede mitigar un poco si estos usuarios instalan el certificado de proxy de su ISP, lo que le permite realizar un MITM esencialmente con el permiso del usuario, pero esto comprometerá significativamente la seguridad de los sitios que realmente necesitan la seguridad de HTTPS.

HTTPS sigue siendo útil incluso sin que se pasen datos confidenciales a través del cable. SSL también garantiza la identidad, por lo que el cliente sabe que la información proviene de usted y no de otra persona.

El único inconveniente real durante mucho tiempo fue el rendimiento. Sin embargo, esto ha desaparecido en gran medida ahora, ya que las implementaciones de SSL / TLS han mejorado y la tecnología ha progresado. Consulte aquí para obtener una explicación detallada.

HTTPS es HTTP dentro de una conexión SSL, es decir, tienes otra capa. Esto introduce una sobrecarga que puede ser un problema, consulte ¿Existe alguna razón para no usar TLS / SSL? .

Como una capa adicional, también presenta más complejidad en el lado del servidor, porque tiene todos los problemas del lado del servidor de HTTP (nivel de aplicación DOS como this ) y luego los problemas de SSL (como Hearbleed ) en la parte superior.

Esto significa que usted asegura el transporte de datos entre el cliente y el servidor al costo de aumentar la superficie de ataque del servidor. No hay almuerzo gratis :(

Por favor, no entiendas esto como un argumento en contra de SSL. Asegurar la capa de transporte es realmente importante y también tiene ventajas si no tiene datos confidenciales (por ejemplo, privacidad). Sin embargo, debe tener en cuenta que aumenta la superficie de ataque y, por lo tanto, debe estar preparado para manejar los problemas asociados con SSL.