Existe-t-il une raison de ne pas imposer le protocole HTTPS sur un site web ?

Il y a beaucoup de discussions ici sur les raisons pour lesquelles tls est bon - mais la question n'a jamais été posée comme dans le message original.

Maxthon a posé 2 questions :

1) Pourquoi un site aléatoire, sans nom, a-t-il décidé de maintenir des présences http et https ?

2) Y a-t-il un impact négatif à ce que Maxthon ne serve que des réponses 301 aux requêtes http ?

En ce qui concerne la première question, nous ne savons pas pourquoi les fournisseurs ont choisi de conserver les sites http et https. Il peut y avoir de nombreuses raisons. Outre les points relatifs à la compatibilité, à la mise en cache distribuée et à certains indices concernant l'accessibilité géopolitique, il faut également tenir compte de l'intégration du contenu et éviter que le navigateur n'affiche de vilains messages indiquant que le contenu n'est pas sécurisé. Comme l'a souligné Alvaro, TLS n'est que la partie émergée de l'iceberg en matière de sécurité.

Il est toutefois possible de répondre à la deuxième question. Exposer n'importe quelle partie de votre site web via http alors qu'il nécessite en réalité https pour un fonctionnement sécurisé constitue un vecteur exploitable pour les attaques. Toutefois, il est utile de maintenir cette mesure afin d'identifier les endroits où le trafic est incorrectement dirigé vers le port 80 sur votre site et de remédier à la cause de cet état de fait. En d'autres termes, il y a à la fois un impact négatif et la possibilité d'un impact positif, le résultat net dépendant de la façon dont vous faites votre travail en tant qu'administrateur.

Sysadmin1138 dit que https a un impact sur les classements seo. Bien que Google ait déclaré que cela a un impact sur les classements, le seul des études fiables J'ai constaté que la différence était minime. Cette situation n'est pas facilitée par le fait que des personnes qui devraient être mieux informés affirmant que, puisque les sites les mieux classés sont plus susceptibles d'avoir une présence https, une présence https par conséquent améliore les classements.

Il ne s'agit pas d'un bon car cela signifie que vous avez de mauvais clients, des clients cassés ou sécurisés, mais s'il y a des processus automatisés qui accèdent à des ressources par le biais de l'interface existante, cela signifie qu'il n'y a pas de client sécurisé. http:// il est possible que certaines d'entre elles ne prennent même pas en charge https (par exemple boîte à outils wget, qui ne supporte pas TLS en interne et ne l'a ajouté que plus récemment via un processus enfant openssl) et se casseraient la figure si on leur donnait une redirection vers une url https qu'ils ne peuvent pas suivre.

Je serais tenté de gérer cette possibilité en écrivant la règle de redirection pour exclure les chaînes User-Agent inconnues (ou connues) de la redirection et les laisser accéder au contenu via http s'ils le souhaitent, de sorte que les navigateurs actuels puissent tous bénéficier de https/hsts forcés.

Par le passé, j'ai dû utiliser HTTP plutôt que HTTPS parce que je voulais <embed> des pages provenant d'ailleurs qui ont elles-mêmes été servies par HTTP, et elles ne fonctionneront pas dans le cas contraire.

Il y a très peu de bon les raisons d'utiliser HTTP au lieu de HTTPS sur un site web. Si votre site web traite des transactions de quelque nature que ce soit ou stocke des données sensibles ou personnelles, vous devez absolument utiliser HTTPS si vous voulez que ces données soient sécurisées. La seule raison valable de ne pas imposer HTTPS est que votre site web repose sur la mise en cache, car HTTPS ne fonctionne pas avec la mise en cache. Cependant, il vaut souvent la peine de sacrifier un peu de performance pour assurer la sécurité de votre site web. Il est également possible que vos clients ne supportent pas le HTTPS, mais en 2017, ils devraient vraiment le faire.