Tôi có nên sử dụng SSL trên mọi trang trên trang web của mình không?

SSL là hình thức bảo mật phổ biến nhất cho web. Bạn thấy nó khi một trang web phàn nàn về việc thiếu các chứng chỉ thích hợp. Bạn nhìn thấy nó với biểu tượng ổ khóa trên thanh trạng thái của trình duyệt khi bạn truy cập một trang web được bảo mật. Bạn thấy nó trong URL, với trình thông báo HTTPS. Bạn thậm chí còn nghe về nó trên bản tin, khi một lỗi như Heartbleed xuất hiện.

Ngay cả với các lỗi như Heartbleed, SSL vẫn an toàn hơn nhiều so với một trang qua HTTP mở. Vậy tại sao toàn bộ web vẫn chưa chuyển sang sử dụng hoặc yêu cầu SSL trên mọi trang? Ở quy mô cá nhân hơn, bạn nên bật SSL trên mọi trang hay chỉ nên giới hạn SSL cho các trang bảo mật, chẳng hạn như bảng điều khiển tài khoản và trang đăng nhập?

Cách hoạt động của SSL

SSL về cơ bản là một sự bắt tay bí mật cho phép lưu lượng truy cập của bạn vào một câu lạc bộ độc quyền, nơi nó có quyền riêng tư gần như hoàn toàn. Nó tạo ra một nơi họp kín giữa máy tính của bạn và máy chủ web lưu trữ các trang bạn đang truy cập. Quy trình chính xác là như sau:

• Trình duyệt của bạn truy cập một trang web sử dụng SSL, chẳng hạn như trang đăng nhập. • Trình duyệt của bạn gửi một yêu cầu đến máy chủ, yêu cầu nó tự nhận dạng. Rốt cuộc, trước khi cung cấp thông tin của mình cho ai đó, bạn cần biết họ là người mà bạn có thể tin tưởng. • Máy chủ gửi cho trình duyệt của bạn một bản sao của chứng chỉ SSL mà nó sử dụng. • Trình duyệt của bạn kiểm tra chứng chỉ đó để xem nó có đáng tin cậy hay không, đảm bảo rằng nó hợp pháp và nó chưa hết hạn. Nếu nó kiểm tra, nó sẽ gửi trả lời đến máy chủ. • Sau đó, máy chủ sẽ gửi xác nhận tin cậy và bắt đầu phiên được mã hóa, như được biểu thị bằng biểu tượng khóa, URL HTTPS, thanh tác vụ màu xanh lục hoặc ký hiệu khác đang được sử dụng. • Từ thời điểm này trở đi, lưu lượng truy cập giữa trình duyệt của bạn và trang web đó đã được mã hóa.

Mã hóa dữ liệu sử dụng một hệ thống khóa công khai và riêng tư phức tạp gần như không thể bẻ khóa được. Không một hacker nhỏ tuổi nào có thể bẻ khóa mã hóa SSL cơ bản để lấy cắp thông tin của bạn. Ngay cả NSA, việc sử dụng những siêu máy tính mạnh nhất thế giới, cũng phải mất hàng thế kỷ mới có thể bắt được các phím cần thiết để đọc dữ liệu của bạn.

SSL được sử dụng vì hai lý do. Lý do đầu tiên là thiết lập danh tính và bảo mật trực tuyến. Một trang web, chẳng hạn như ngân hàng của bạn, sử dụng SSL để cho bạn biết rằng nó là ai. Bằng cách này, nó có thể dễ dàng trỏ đến biểu tượng ổ khóa hoặc URL HTTPS và cho bạn biết nếu nó không có ở đó, đừng nhập thông tin của bạn. Lý do thứ hai là việc bảo vệ chính thông tin đó. Nếu một tin tặc chặn thông tin tài khoản của bạn trong khi nó đã được mã hóa, tất cả những gì họ nhận được sẽ là những thứ vô nghĩa bị cắt xén.

Vì vậy, không có trí tuệ để bật SSL cho trang đăng nhập tài khoản của bạn. Bạn có kích hoạt nó cho toàn bộ trang web của bạn không?

Nhược điểm của SSL Toàn trang

SSL nhược điểm của toàn bộ trang web

Con: Chi phí máy chủ. Mỗi yêu cầu được thực hiện từ một máy chủ qua SSL đòi hỏi sức mạnh xử lý và băng thông nhiều hơn một chút so với một bit lưu lượng truy cập không được mã hóa. Ở quy mô nhỏ, điều này không nhiều. Google nhận thấy sự gia tăng chi phí rất ít khi Gmail chuyển hoàn toàn sang SSL – theo thứ tự một phần trăm. Tuy nhiên, trên toàn bộ Internet, mức độ hao mòn của máy chủ tăng 1-2% có thể rất quan trọng. Lưu ý: Điều này từng tồi tệ hơn nhiều khi máy tính chạy chậm hơn, nhưng nó ít hơn nhiều với máy tính hiện đại. Rất có thể cơ sở hạ tầng máy chủ sẽ dễ dàng vượt qua tải trọng ngày càng tăng của Internet tất cả SSL.

Con: Mạng phân phối nội dung phải đối mặt với những thách thức. Với CDN, trang web của bạn có thể lấy từ hàng chục máy chủ khác nhau để tải một trang duy nhất. Điều này tạo ra một vấn đề. Khi trình duyệt của bạn truy cập www.website.com và yêu cầu chứng chỉ SSL của nó, nó sẽ yêu cầu một chứng chỉ cho URL đó. Nó có thể nhận lại một phần từ CDN, www.cdn.com. Sự chênh lệch giữa tên máy chủ dự kiến ​​và thực tế gây ra lỗi và trình duyệt đọc kết nối là không đáng tin cậy.

Con: Tên miền phụ có vấn đề tương tự như CDN. www.mail.website.com sẽ cần một chứng chỉ khác với www.users.website.com. Một chứng chỉ duy nhất, được gọi là chứng chỉ ký tự đại diện, giải quyết vấn đề này, ngoại trừ nó không hoạt động đối với http://website.com đơn giản. Nhiều chứng chỉ là cần thiết.

Con: Một lần nữa tương tự với vấn đề CDN là vấn đề mạng quảng cáo. Một trang web cần biết rằng mọi nội dung được phân phối bởi mạng quảng cáo đều được chứng nhận SSL. Quan trọng hơn, bản thân mạng quảng cáo cần đảm bảo mọi quảng cáo của bên thứ ba mà nó phân phát đều an toàn như nhau. Vấn đề càng kéo dài càng xa khi có các liên kết trong chuỗi và nếu bất kỳ một liên kết nào trong số chúng không cung cấp SSL, mọi chuyển tiếp trong chuỗi sẽ gây ra lỗi.

Con: Nếu toàn bộ trang web đang sử dụng SSL, nó phải được bảo mật, đúng không? Chà, vẫn có một số cách – trong một mạng Internet không hoàn toàn sử dụng SSL – mà thông tin của bạn có thể bị tấn công trước khi được mã hóa. Sử dụng SSL trên toàn bộ trang web của bạn có thể tạo ra cảm giác an toàn sai cho người dùng của bạn.

Kết luận: SSL có thể can thiệp vào một số công cụ được sử dụng để đo lường hiệu suất SEO. HTTPS cũng yêu cầu chuẩn hóa và chuyển hướng 301 thích hợp. Điều này có thể mất một chút thời gian để thiết lập đúng cách và không khắc phục được thực tế là một số công cụ chỉ đơn giản là không hoạt động.

Ưu điểm của SSL Toàn trang

Chuyên nghiệp: Đối với một điều, việc triển khai SSL trên toàn bộ trang web của bạn về mặt kỹ thuật dễ dàng hơn so với việc giới hạn nó trong một trang hoặc một số trang. Điều này làm cho nhân viên kỹ thuật của bạn thực hiện ít công việc hơn.

Chuyên nghiệp: Bạn không gặp phải vấn đề trong đó trang đăng nhập của bạn không an toàn nhưng nút gửi vẫn an toàn. Những vấn đề này có thể khiến người dùng nghĩ rằng thông tin của họ không được mã hóa, mặc dù việc gửi và truyền dữ liệu thực tế là hoàn toàn an toàn.

Chuyên nghiệp: HTTPS thực sự an toàn hơn. Việc có SSL trên toàn bộ trang web của bạn sẽ hạn chế khả năng những kẻ lừa đảo thực hiện các cuộc tấn công mạo danh trên trang web của bạn. Người dùng của bạn sẽ có thể mong đợi một mức độ an toàn nhất định khi sử dụng trang web của bạn.

Điểm mấu chốt

Kết luận

Như bạn có thể thấy, nhược điểm phần nào lớn hơn ưu điểm trong tình huống này. Tuy nhiên, nhiều nhược điểm là các vấn đề có thể được giảm bớt bởi nhiều trang web và nhà cung cấp nội dung chuyển sang sử dụng SSL hoàn toàn.

Khuyến nghị phổ biến là sử dụng SSL cho các phần trang web của bạn nhất thiết cần bảo mật. Các trang đăng nhập, biểu mẫu gửi nhạy cảm và lưu lượng truy cập khác như vậy cần được mã hóa, vì vậy bạn cần ít nhất mức sử dụng SSL cơ bản đó.

Theo thời gian, khi Internet chuyển sang SSL nhiều hơn, bạn có thể mở rộng việc sử dụng SSL để bao gồm phần còn lại của trang web. Bạn có thể gặp sự cố với các nhà cung cấp nội dung bên thứ ba, nếu các nhà cung cấp đó chưa triển khai đầy đủ SSL của riêng họ. Khi những vấn đề này đã được giải quyết, SSL trên toàn trang sẽ là tiêu chuẩn mới.

Trả lời

Email của bạn sẽ không được hiển thị công khai.