it-swarm-korea.com

사이트 전체 SSL (https)의 장단점은 무엇입니까?

로그인 페이지의 SSL과 달리 SSL을 통해 전체 사이트의 모든 HTTP 트래픽을 암호화하는 장단점은 무엇입니까?

80
Olivier Lalonde

여기에있는 다른 답변의 대부분은 사이트 전체 SSL의 단점을 다루기 때문에 (주로 성능 문제-SSL 종료를 SSL 프록시 상자 또는 SSL 카드로 오프로드하여 쉽게 완화 할 수 있음), 지적하겠습니다 SSL을 통한 로그인 페이지 만 있고 SSL이 아닌 것으로 전환 할 때 발생하는 몇 가지 문제 :

  • 사이트의 나머지 부분은 보안이 유지되지 않습니다 (이것은 분명하지만 때로는 사용자의 암호에만 초점이 너무 큽니다).
  • 사용자의 세션 ID는 명확하게 전송되어 가로 채서 사용되므로 악의적 인 사용자가 사용자를 사칭 할 수 있습니다. (이것은 주로 Firesheep hubbub에 관한 것입니다).
  • 이전 시점으로 인해 세션 쿠키에 secure 속성을 표시 할 수 없습니다. 즉, 추가 방법으로 검색 할 수 있습니다.
  • 로그인 전용 SSL을 사용하는 사이트를 보았으며 물론 잊어 버린 비밀번호 페이지, 비밀번호 변경 페이지 및 등록 페이지에 포함하지 않는 것이 좋습니다 ...
  • SSL에서 비 SSL 로의 전환은 종종 복잡하고 웹 서버에서 복잡한 구성이 필요할 수 있으며 많은 경우 사용자에게 무서운 메시지가 표시됩니다.
  • 로그인 페이지 인 경우에만, 그리고 f.e. 귀하의 사이트 홈페이지에서 로그인 페이지로 연결되는 링크가 있습니다. 누군가가 귀하의 홈페이지를 스푸핑/수정/차단하지 않고 다른 로그인 페이지를 가리 키도록하려면 어떻게해야합니까?
  • 그런 다음 로그인 페이지 자체가 SSL이 아니지만 [~ # ~] submit [~ # ~] 만이-인 경우가 있습니다. 암호를 보낼 때만 안전합니다. 맞습니까? 그러나 실제로 사용자가 암호를 올바른 사이트로 너무 늦게 보내질 수 있도록 사전에 확인할 수있는 기능을 제거합니다. (예 : Bank of America 및 기타 여러 국가).
61
AviD

중요한 "콘"으로 증가하는 "서버 오버 헤드"는 일반적인 신화입니다. Google 엔지니어 noted Gmail을 100 % SSL로 전환 할 때 추가 하드웨어를 배포하지 않았으며 SSL이 CPU로드 1 % 미만, 네트워크 트래픽 2 % 미만을 차지했습니다. 스택 오버플로는이를 처리하는 몇 가지 질문도 있습니다. SSL이 부과하는 오버 헤드는 얼마입니까?HTTP vs. HTTPS 성능 .

47
user502

Zscaler 블로그 항목에서 웹이 아직 SSL 전용으로 전환되지 않은 이유는 무엇입니까?

"Firesheep이 세션 사이드 재킹 문제를 한 번 더 강조하면서 많은 사람들이 왜 더 많은 웹 사이트 나 적어도 주요 플레이어 (Google, Facebook, Amazon 등)가 모든 통신에 대해 기본적으로 SSL을 활성화하지 않았는지 묻습니다. 암호화는 개방형 무선 네트워크에서 사용자 세션을 쉽게 스니핑 할 수없는 유일한 방법입니다.

URL에서 http 다음에 s를 추가하면됩니다. 실제로 그렇게 쉬운 일이 아닙니다. 여기 몇 가지 도전 과제가 있습니다. "

도전 과제 요약 (단점) :

  • "서버 오버 헤드"
  • "지연 시간 증가"
  • "CDN에 대한 도전"
  • "와일드 카드 인증서로는 충분하지 않습니다"
  • "혼합 된 HTTP/HTTPS : 닭고기와 계란 문제"
  • "경고는 무섭다!"
25
Tate Hansen

Ars Technica는 사이트 전체에 SSL을 배포 할 때 발생하는 몇 가지 문제를 설명하는 우수 기사 를 가지고 있습니다.

하나의 큰 것 : 대부분의 광고 네트워크는 SSL을 통해 광고를 게재 할 수있는 방법을 제공하지 않습니다. 또한 HTTPS를 통해 게재되는 기본 페이지에 광고 (HTTP를 통해 게재)를 포함하면 브라우저는 무서운 혼합 콘텐츠 경고를 표시하여 사용자에게 영향을 미치지 않습니다. 따라서 광고 지원 사이트는 사이트 전체에서 SSL로 전환하기가 매우 어려울 수 있습니다.

이 기사는 타사 위젯, 분석, 임베디드 비디오 등과 같은 다른 문제도 간략히 설명합니다.

19
D.W.

OK, 이것은 고대의 질문입니다. 그래서 저의 대답은 아마도 아래에서 아래로 어려울 것입니다. 그러나 '단점'에 추가해야 할 것이 있습니다.

HTTPS 대기 시간 :

클라이언트-서버 HTTP 대기 시간이 짧으면 빠른 로딩, 반응 형 웹 사이트 를 만드는 데 중요합니다. 빠른 페이지 로딩 시간은 최종 사용자의 행복을 증가시킵니다 .

TCP/IP만으로는 유명한 TCP 3 방향 핸드 셰이크, 즉 일반 HTTP에 대한 초기 연결 설정 TCP에 3 개의 패킷이 필요합니다. SSL/TLS 인 경우) 연결 설정이 더 많이 사용되면 일반 텍스트 HTTP보다 새 HTTPS 연결에 대한 대기 시간이 불가피하게 더 높음 임을 의미합니다.

HTTPS 연결을 여러 번 다시 사용하여 (즉, 영구 연결 사용 및 기타 SSL False Start와 같은 성능 최적화 ) 이로 인한 영향을 줄일 수는 있지만 제거 할 수는 없습니다.

모든 최신 브라우저가 가능할 때마다 HTTP 객체를 병렬로 다운로드 하기 때문에 페이지로드 속도를 늦추는 HTTPS의 양을 정확하게 모델링하는 것은 복잡합니다. 그럼에도 불구하고, 초기 연결 설정 시간이 높을수록 현재 기술에서는 피할 수없고 피할 수 없습니다. 따라서 새로운 연결 대기 시간 증가는 중요한 고려 사항입니다.

15
Jesper M

위의 다른 답변에서 누락 된 단점은 요즘 콘텐츠 배포 네트워크 (예 : Akamai)에 대한 의존도가 크다는 것입니다. 현재 사용되는 많은 웹 페이지는 다양한 도메인에서 콘텐츠를 가져 와서 브라우저가 이들 각각에 대한 인증서를 가져야합니다 또는 경고가 나타납니다. 물론 공격자가 브라우저에 이미 인증서가있는 CDN 플랫폼을 사용한 경우, 필요할 때 경고를받지 못할 수도 있습니다.

현재 응용 프로그램과 컨텐트가 제공되는 방식에 문제가 있습니다.

12
Rory Alsop

전문가는 확실히 보안이 강화됩니다. 단점은 상대적으로 느린 연결,보다 집중적 인 CPU 사용, 정확한 인증서 관리, 인증서 비용 (자체 서명 된 인증서를 사용하지 않는 경우)이 될 수 있습니다. 그러나 최근에는 https를 사용하는 확산 관행이 있으며 최종 사용자의 이익과 서비스를 제공하는 회사에 대한 신뢰가 높아짐에 따라 이러한 단점이 발생합니다.

7
anonymous

다른 답변은 혼합 콘텐츠 경고로 인해 HTTP-> HTTPS 마이그레이션을 어렵게하는 "치킨/달걀 문제"를 주장했습니다. 그것은 문제이지만, 그들이 그것을 만드는 것만 큼 어렵지는 않다고 생각합니다.

혼합 콘텐츠는 protocol-relative URLs 및 XSS 문제를 찾는 데 사용해야하는 것과 동일한 스캐너를 사용하여 해결할 수 있습니다.

RFC 3986 섹션 4.2 네트워크 경로 참조라는 용어를 사용합니다.

두 개의 슬래시 문자로 시작하는 상대 참조를 네트워크 경로 참조라고합니다.

동일한 원본 링크, 이미지 및 기타 사이트 자산에서 http://example.com/의 모든 용도를 찾을 때까지 페이지를 먼저 스캔하고 프로토콜 기준 URL (//example.com/...)로 바꾸십시오. 이렇게하면 HTTP 또는 HTTPS를 통해 페이지를 제공하는지 여부에 관계없이 동일한 HTML을 제공 할 수 있으며 나중에 마이그레이션에서 문제가 발생하는 경우 롤백 할 수있는 훨씬 나은 위치에있게됩니다.

그런 다음 제어 외부 사이트의 기존 URL이 계속 작동하고 HTTPS를 통해 서비스를 시작하도록 영구 HTTP-> HTTPS 리디렉션을 설정하십시오. 공격적인 캐시 헤더와 함께 영구 리디렉션을 사용하면 검색 엔진이 페이지 순위를 전송하고 재 방문자의 사이트 속도를 높이는 데 도움이됩니다.

물론 회귀 현상을 포착 할 수 있도록 스캐너에서 혼합 된 내용을 찾도록 유지해야합니다.

5
Mike Samuel

나는 이것이 오래된 질문/스레드라는 것을 알고 있지만 측면 SSL을 수행하기위한 거대한 PRO를 지적하고 싶었습니다.

SPDY

Apache에서 mod_spdy를 사용하려면 SSL이 필요합니다.

아직 SPDY를 배포하지 않았습니다. 완료하십시오! Chrome 및 Firefox는 프로토콜뿐만 아니라 Opera도 지원합니다.

이는 SPDY를 활용할 수있는 사용자의 약 절반입니다.

4
Spock

다른 단점은 (다른 사람들이 만진) 캐싱이 부족하여 속도에 분명히 영향을 미칩니다. 또한 HTTP_FORWARDED_FOR과 같은 일부 서버 변수는 사용할 수 없습니다.

3
Nev Stokes

그러나 여기에 언급 된 모든 좋은 점은 사기 비용이 잘못되었습니다! 그리고 비용으로 나는 인증서를 구매하는 것이 아니라 인증서, 해지, 웹 서버의 CPU 부하를 줄이기 위해 전용 암호화 모듈을 관리하는 적절한 인프라를 가지고 있다는 것을 의미하지 않습니다.

3
Henri

전체 사이트를 암호화 상태로 유지하는 이점 :

  • 당신은 로그인 후 일반 텍스트를 보내 개인 정보 보호 관심 방문자를 화나게하지 않습니다.
  • 사이트의 http 및 https 부분간에 리디렉션/링크 할 때 실수의 위험이 줄어 듭니다.

죄수 :?

구글과 다른 사람들의 평가를 읽으십시오. 100 % https로 가기 위해 비용이 많이들 필요는 없습니다.

3
MattBianco

기술적이지 않은 사용자가 페이지를 편집하는 데 사용할 수있는 CMS에서 웹 사이트를 관리하는 경우 HTTP를 통해 이미지와 같은 오프 사이트 리소스에 대한 참조를 포함하도록 HTML을 편집 할 수 있습니다. 필요한 경우에만 SSL을 사용하고 다른 페이지를 HTTP로 다시 리디렉션하는 쇼핑 사이트를 만들었습니다. 그렇지 않으면 소유자가 사이트에 갇힌 모든 오프 사이트 이미지로 인해 혼합 된 콘텐츠 경고가 표시되기 때문입니다.

2
TRiG