Хорошая или плохая практика принудительно использовать HTTPS для всего сайта?

Этот вопрос, и особенно ответы, УСТАРЕЛ. Этот вопрос должен быть помечен тегом: <meta name="robots" content="noindex">, чтобы он больше не отображался в результатах поиска.

Чтобы ЭТОТ ответ был релевантным:

1. Google теперь штрафует рейтинг веб-сайтов в поиске, когда они не используют TLS / https. Вы ТАКЖЕ будете наказаны в рейтинге за дублирующийся контент, поэтому будьте осторожны, чтобы страница ЛИБО отображалась как http ИЛИ https НО НИКОГДА оба (или используйте точные канонические теги!)

2. Google также агрессивно указывает на небезопасные соединения, что отрицательно сказывается на конверсии, отпугивая потенциальных пользователей.

3. Это делается для создания сети / Интернета только с использованием TLS, что является ХОРОШО. TLS - это не просто защита паролей - это обеспечение безопасности и аутентичности всей вашей глобальной среды.

4. Миф о «потере производительности» на самом деле основан только на устаревшей устаревшей технологии. Это сравнение, которое показывает, что TLS быстрее, чем HTTP (однако следует отметить, что страница также сравнение зашифрованного HTTP / 2 HTTPS и обычного HTTP / 1.1).

5. Это довольно просто и бесплатно реализовать с помощью LetsEncrypt, если у вас еще нет сертификата.

6. Если у вас ДЕЙСТВИТЕЛЬНО есть сертификат, то закройте люки и везде используйте HTTPS.

TL; DR, здесь в 2019 году идеально использовать TLS для всего сайта, а также рекомендуется использовать HTTP / 2.

</soapbox>

вы теряете много функций с https (в основном связанных с производительностью)

• Прокси-серверы не могут кэшировать страницы
• Вы не можете использовать обратный прокси для повышения производительности
• Вы не можете разместить несколько доменов на одном IP-адресе.
• Очевидно, что шифрование потребляет ресурсы ЦП.

Возможно, для вас это не проблема, это действительно зависит от требований.

HTTPS снижает пропускную способность сервера, поэтому может быть плохой идеей, если ваше оборудование не справляется с этим. Вы можете найти этот пост полезным. В этом документе (академическом) также обсуждаются накладные расходы HTTPS.

Если у вас есть HTTP-запросы, поступающие со страницы HTTPS, вы заставите пользователя подтвердить загрузку незащищенных данных. Раздражает на некоторых веб-сайтах, которые я использую.

Если у вас нет побочных эффектов, то, вероятно, на данный момент у вас все в порядке, и, возможно, вы будете счастливы не создавать работу там, где она не нужна.

Однако нет особых причин для шифрования всего вашего трафика. Конечно, учетные данные для входа или другие конфиденциальные данные. Одна из основных вещей, которую вы потеряете, - это кеширование нижестоящего уровня. Ваши серверы, промежуточные интернет-провайдеры и пользователи не могут кэшировать https. Это может быть не совсем актуально, поскольку в нем говорится, что вы только предоставляете услуги. Однако это полностью зависит от вашей настройки и от того, есть ли возможность кэширования и есть ли вообще проблема с производительностью.

Рекомендуется использовать полностью HTTPS - или, по крайней мере, предоставить опытным пользователям возможность полностью использовать HTTPS.

Если есть определенные случаи, когда HTTPS совершенно бесполезен, и в этих случаях вы обнаруживаете, что производительность снижается, только тогда вы можете по умолчанию или разрешить не HTTPS.

Я ненавижу бегать по бессмысленным сайтам с https, которые не обрабатывают ничего, что действительно требует шифрования. В основном потому, что все они кажутся в 10 раз медленнее, чем любой другой сайт, который я посещаю. Как и большинство страниц документации на developer.mozilla.org, вы будете вынуждены просматривать ее с помощью https без какой-либо причины, и загрузка всегда занимает много времени.