rss

Профиль компании

Финансовые компании

Блог компании sMart-lab.ru | Нужен ли смартлабу https?

Господа вебмастера, вебпрограммисты, сисадмины и просто разбирающиеся...
Подскажите, нужен ли смартлабу https?

И если да, то зачем?

Спасибо

А то денег это будет стоить прилично — вот и думаю, стоит ли заморачиваться. (Дело в том, что шифрование страниц увеличит сильно нагрузку на сервак и потребует покупки нового сервера)
★3
142 комментария
Да. Это защитит трафик, предотвратив перехват.
avatar
God, перехват чего? открытой инфы? фигню не порите.
avatar
Мне как пользователю не нужен. Или я просто не понимаю, зачем он мне нужен.
Прикрути уж тогда голосовалку что ли
Антон Иванов, да пользователям то разницы никакой

меня интересует больше профессиональный взгляд
Тимофей Мартынов, нужен если хочешь остаться в топе поиска гугл. А скоро сайты без https будут помечаться, как не безопасные. Плюс многие новые веб технологии не работают без https.
avatar
MaxStark, ресурс раскручен и достаточно узконаправленный, можно и топом гугла пожертвовать… на посещаемости не скажется. 
Александр (sm), ну это пусть Тимофей сам решает
avatar
Александр (sm), да не, топ гугла важен для нас

другой вопрос, насколько https на это влияет
MaxStark, думаешь серьезная разница в плане поисковой выдачи?
Тимофей Мартынов, да, и чем дальше тем хуже
avatar
Тимофей Мартынов, если пользователям без разницы, то зачем он нужен?
Александр (sm), затем, что Тимофей на рекламе зарабатывает. А пользователи не при чем:)
avatar
Александр (sm), выдача гугл лучше

вопрос в том насколько большая разница
Тимофей Мартынов, посмотри https://letsencrypt.org
avatar
Тимофей Мартынов, Единственный плюс это то что https в выдаче поисковых систем немного выше. Ничего ценного здесь не передаётся. Можно прикрутить https только на то место где идёт передача паролей при логине и всё, там даже не надо сертификат покупать или прикрутить бесплатный от let's encrypt, но имхо, если целенаправленно захотят поломать, то поломают и положат. Как вариант, чтобы снизить нагрузку, можно специально для поисковых ботов подсовывать https, а для всех остальных http, это легко делается и экономит 100500 денег.
avatar
Vlad, ну вот вопрос насколько «немного»?
Тимофей Мартынов, $9 в год это дорого?
www.namecheap.com/security/ssl-certificates/comodo/positivessl.aspx
avatar
athlant64, дорог сервак новый, который нужен чтобы шифровать страницы
Тимофей Мартынов, а что, у хостинга настолько хреновый сервак что малейший пук и все падает? Переходи на Годадди.
avatar
athlant64, «на godaddy» — это даже не смешно;-)

avatar
Тимофей Мартынов, поисковики любят когда https, улучшится рейтинг сайта. А про нагрузку на сервер кто сказал? У тебя сейчас процессор на >90% загружен? Скорее всего нет, кроме процессора ничего шифрование не сожрет, а он у тебя скорее всего не загружен.
avatar
stitrace, ну проц сильно загружен
Тимофей Мартынов, не могу поверить, что проц сильно загружен. В любом случае, если смотреть код nginx и socket библиотеки Linux то там гораздо более тяжелые операции, нежели простая математика алгоритмов шифрования. В общем я сомневаюсь что тебе нужно брать новый сервер.
avatar
stitrace, дело не в тяжести конкретной операции, а в том, насколько часто она вызывается. Шифрование будет вызываться при каждом запросе, поэтому производительность оно по-любому посадит
А кроме того, на промежуточных узлах часто данные кэшируются, это тоже отлетит, поэтому возрастут еще издержки на сеть
sortarray sortarray, ну дело и в частоте и тяжести, конечно вместе нужно рассматривать. По моим оценкам (администрируя сайт на 12000 пользователей одновременного онлайн, 8 миллионов запросов в день) при переходе на https нагрузка на процессор пограничного сервера выросла примерно на 2%.
avatar
stitrace, Понимаете, в чем проблема. Когда говорят о производительности сервера, имеется в виду не только и не столько нагрузка на проц, сколько способность сервера обслуживать определенное количество клиентов за единицу времени. У вас нагрузка на проц останется той же самой, может быть, даже, но при этом клиенты будут __дольше_ждать__ отклика сервера, вот в чем основная разница.
Иными словами, на обслуживание каждого клиента уходит больше времени, что имеет критическое значение в пики нагрузок.
Если берешь при этом, более мощный сервер, это время сокращается
stitrace, 
 У тебя сейчас процессор на >90% загружен

Нет там никакого «сейчас», он будет загружен соответственно нагрузке на сервер, которая колеблется в течении дня и недели, там нет никакой стабильной цифры — 10 или 90, все это зависит от активности
stitrace, а аппаратный AES в процессоре не решает проблему?
avatar
Тимофей Мартынов, смысла нет. что тут шифровать?? флуд шифровать — пустая трата времени и средств, да и тормоза будут не только на серваке, а и на клиенте тоже
avatar
Тимофей Мартынов, ssl сертификат можно получить бесплатно на letsencrypt.org. Шифрование трафика не потребует дополнительного сервера, в среднем увеличится нагрузка на CPU на 2%. https нужен для шифрования данных пользователя, которые он отправляет на ваш сервер, таким образом исключается возможность украсть, например, пароль через сниферы или прокси. поисковые системы дают приоритет сайтам с https в поисковой выдаче.
avatar
Антон Иванов, Вроде как где-то читал, что это будет сказываться на выдаче. Сам не делаю это, бо лень
Евгений, пишите в личку, помогу. Там работы на полчаса, не больше.
 
avatar
Lev, Да я сейчас сам уже тыгаю в рег ру. Они бесплатно дают. Спасибо за предложение!

kbrobot.ru, не советую у них, бесплатный первый год обойдётся потом бОльшими тратами. У них можно только регистрировать домены по 110 рублей, остальное — лучше делать в других местах.
avatar
Lev, Вроде как пишут 1500 в год за SSL?
Lev, 1500 это дорого?

kbrobot.ru, конечно дорого. Этот сертификат стоит 4-5 долларов, в зависимости от срока выпуска. На год — 5 баксов, на 3 года — 4 доллара в год.
Вот и считайте. К тому же есть абсолютно бесплатные варианты, которые может даже и лучше.
avatar
Lev, А быстро его делать то за 5 долларов?

kbrobot.ru, сорри, не видел коммента. Быстро, минут за 20 выпускают. Тут
avatar
он нужен в том случае, если мы бы вводили какие-то данные по банковской карточке. А так мы вводим только логи и пароль от учетной записи, где нет ничего ценного у каждого из нас.
avatar
Без https будет и дальше гнобить гугл. Чем дальше, тем агрессивнее.
Про «отдельный сервер под шифрование» — явный перебор. У нас на проекте схожая посещаемость и никакого дополнительного железа не потребовалось.
Можно вообще уйти под cloudflare.com, тогда это обойдется в 20 баксов в месяц и никакого апгрейда железа. Тоже есть многолетний положительный опыт использования.
avatar
Lev, 
чем ещё хорош CloudFlare, так это тем, что предлагает «анти-DDoS buffer», хотя он далеко не единственный.
avatar
DeltaZero, плюс там есть http-2, что резко ускоряет сайт в браузерах пользователей. Ну и ряд других полезных фишек.
Кроме CF могу отметить Google Shield, но обширного опыта с ним не имею, только в тестовой эксплуатации.
avatar
Lev, а что такое cloudflare.com
зачем и что оно дает?
Тимофей Мартынов, комплексный сервис — защита от DDoS (реально работает, сами спасаемся), ускорение работы сайта (оптимизация отдачи статики, продвинутое адаптивное кеширование, оптимизация под отдачу на мобильные устройства, итд), плюс они дают бесплатно HTTPS, перенося всю нагрузку (которой вы опасаетесь) на свои проксирующие сервера.

Есть бесплатная версия, можно с неё начать, она ничем не ограничена кроме отсутствия мелких вещей типа статистики оптимизации отдачи контента в реальном времени. Платный тариф стоит 20 баксов в месяц.
Про фичи можно почитать тут. Само подключение занимает буквально пару часов и минимум работы — поменять DNS-записи домена и прописать правильные ip-адреса. Переход на HTTPS — нажать пару кнопок в админке плюс надо поправить шаблон сайта, убрав «вшитые» урлы, начинающиеся с http. Тут тоже работы верстальщика на пару дней, а то и меньше.
Используем сами уже несколько лет (года 3) на довольно посещаемом коммерческом сайте.
avatar
на этом сайте нет никаких платежей и смежных сервисов — значит не нужен. Касательно «А то денег это будет стоить прилично» — есть бесплатный сертификат https.
avatar
Max Xaser, 
есть бесплатный сертификат https.

В смысле? Самоподписанный что-ли?
Max Xaser, это какой же бесплатный? StartSSL? Его сертификаты уже не признаются никем (скомпрометировали себя).
avatar
athlant64, есть бесплатный Let's Encrypt, есть комодовский PositiveSSL за 4-5 баксов в год. Пара чашек кофе.
avatar
Lev, let's encrypt — ограничение 90 дней? Это просто рекламная замануха какая-то?
sortarray sortarray, раз в 90 дней скрипт автоматически в кроне перегенерирует сертификат и перезапускает веб-сервер. Но я не использую, 5 баксов в год мне не жалко.
avatar
Lev, прикол, пиплы будто замерли в эволюции своих познаний, лет 10 как :))
avatar
DeltaZero, да скорее всего так и есть. Только не на 10, а на 20, начало нулевых, не позднее.
avatar
Через браузер Comodo Dragon если заходить будет https.
Сейчас все погуглят что это и накидают Тимофею то, что он и сам мог прочитать =)
avatar
Я немного не по теме, но про интересную фичу смарт-лаба.

Комментируешь пост. Автору коммент не нравится (правда глаза колет). Ты оказываешься в чёрном списке.

Автор задним числом подправляет пост так, что твой коммент выглядит некорректно.

Остальные участники обсуждения продолжают тебе отвечать на твой коммент, с учётом уже подправленного поста, но ты уже не можешь ничего ответить будучи в чёрном списке.

Ты оказываешься неправ, тебе пишут злобные комменты, ты не можешь ничего ответить.

Как-то не очень хорошо получается.
avatar
EZ, хорошо хоть еще черную метку не вручают.)
Андрей Зуев, я не скажу что очень страдаю, но как человек из индустрии разработки программного обеспечения, считаю что это баг, а не фича и надо бы пофиксить ;)
avatar
EZ, если тебе пишут злобные комменты по незнанию, что автор блога исправил блог, то пиши этим комментаторам в личку
avatar
Ярик, да, с теми кто пишет можно поообщаться через личку, но получается, что есть много тех кто не пишет, но при этом читают, думают что я злобный тролль, ставят минусы и прочее прочее.

Мне, по большому счёту, пофиг, самоутверждаться уже давно не нужно, но какое-то внутреннее чувство справедливости оскорблено, получается :)
avatar
EZ, правда все равно победит =))
исправляющие пост засранцы — они обычно с гнильцой, нормальная аудитория таких не читает, а заслуживать уважение у не нормальной — трата времени =)
avatar
Андрей К, да всё понятно, я из штанов-то выпрыгивать не собираюсь.
Не понравится атмосфера на сайте — уйду без сожаления :)
avatar
EZ, со мной вчера еще смешней поступили. Из 6 комментов в теме оставили только самый первый, остальные все оперативно потер хозяин. А ответы на мои комменты все оставил. Читаешь — ну полная шезофрения. Смеялсо и плакалъ одновременно)
Уланов Валерий, я не проверял, может и с моими комментами так же сделали. Да после таких финтов просто отпадает желание комментировать. 
avatar
EZ, комментировать надо.
Уланов Валерий, зачем?
Вот и в этом топике профи набежали :)
avatar
EZ, профи на сайте человек 10-12, не больше. Остальные такие же бакланы как и мы, только щеки более надутые.
EZ, все нормально. Идеального ничего не бывает, зато дегенератов легко отсечь, иначе тема превращается в кучу мусора. Все правильно сделано.
aws
avatar
Дар Ветер, ?
Тимофей Мартынов, имелся в виду Amazon Web Services, но он немного про другое и будет весьма приличнно стоить при вашей посещаемости.
avatar
Не нужен.
Хотя, ходят слухи, что для поисковой оптимизации это полезно, сейчас на него повально все переходят, даже сайтеге Васей Пупкиных 
По теме — для ресурса типа смарт-лаба, не критично переходить на https, потери пользователя в случае атаки стоят немного, по-моему.

Но https это хорошо.
avatar
www.httpvshttps.com
www.keycdn.com/blog/https-performance-overhead/

да пользователям то разницы никакой


Наверное, такие вопросы нужно задавать только в ЛС и только тем контактам, которых ты за все годы СЛ пометил себе aka devops…
avatar
DeltaZero, судя по ответам «программистов» — да, нет смысла выносить это на широкую аудиторию.
avatar
Lev, 
блин, ну я совсем не знаю, но подобные зеро-вопросы высвечивают владельца ресурса, пишущего толстые книги, не с самой приглядной стороны.
(пардон за откровенную циничность ;)
avatar
DeltaZero, поясните, что вы имели ввиду?
Тимофей Мартынов, 
Не имею права навязывать свою т.з., но...


обращение в Личку
Господам вебмастерам, вебпрограммистам, сисадминам и просто разбирающимся

гораздо эффективнее и не выдаёт твои слабые стороны, не нанося ущерб репутации ;)))
avatar
DeltaZero, да какой ущерб то репутации, Тимофей же экономист, а не разработчик. Задает более менее адекватный с точки зрения менеджмента вопрос, на который профессионалы давно уже ответили. По существу то тут и говорить то не о чем, https обязан быть.

avatar
Displacer, 
Теперь буду знать, что Тимофей, оказывается, экономист.
avatar
DeltaZero, ну он же на РБК работал раньше, впрочем может я чего-то и не знаю.
avatar
Displacer,
А, теперь понятно, он работал на РБК экономистом, теперь ясно.
avatar
DeltaZero, и кем же он там работал по вашим сведениям?
avatar
Displacer,
да нет у меня никаких сведений ;)
avatar
Lev, остыньте, речь не про SSL-софт, а про нагрузку на сервак, который надо будет апгрейдить.
avatar
Lev, остыньте
EZ, не хамите, парниша. Я почти два десятка лет занимаюсь системным администрированием unix/linux и кое-что про «нагрузку на сервак» знаю. В том числе и кое-что знаю про переход на https.
Моя реплика касалась не вас, а известного местного клоуна сортировщика_массивов, который упорно выдаёт себя за программиста и гуру во всех it-вопросах.

P.S. Что за SSL-софт? Я не понимаю. (И вы похоже — тоже)
avatar
Lev, я разрабатывал высоконагруженные системы в телекоме, так что давайте не будем меряться пиписьками.
avatar
EZ, сами начали хамить и огрызаться, так что ловите в ответ. Я в ваш адрес вообще ничего не писал.
avatar
DeltaZero, чо такое devops?
Тимофей Мартынов, это хипстеры так сисадминов называют
avatar
Тимофей Мартынов,

avatar
че? прилично стоить? https://letsencrypt.org/
avatar
Скоро, там ограничение 90 дней, какой смысл?
sortarray sortarray,  авто продление  настрой это одна строка 
avatar
В гугл хроме  в строке идет пометка «Надежный», если есть сертификат.

В теории когда на сайте вводится пользовательская информация, данные карты или просто регистрация то уже необходим сертификат.

 Пока какой то критической необходимости вроде как нет.

Тут более серьезная проблема: нет адаптации под мобильные устройства (трудновато читать с телефона)

Мое мнение: почему бы сразу не сделать комплекс мероприятий адаптивную верстку+AMP+заодно сертификат

Обязательно нужен https: все-таки на СЛ есть информация об эквити участников.
avatar
бери самый дорогой, защити нас от русских хакеров
avatar
по идее да… зарубежные поисковики перестанут заводить на смартлаб клиентов… вроде ж как многие хостинг провайдеры бесплатно htpps дают кто абонементом пользуется.
avatar
https нужен, потому что:
1) браузеры теперь предупреждают юзеров, когда те пытаются вводить пароль на незашифрованных страницах — будет меньше регистраций на сайте без https

2) сеть так устроена, что при обычном http мошенники воруют пароли (например, подключившись к public wi-fi, можно слушать все пакеты) — то есть ради безопасности надо включать https

3) google возможно будет пессимизировать

Теперь по поводу включения https, на моих сайтах после его включения nginx также существенно меньше ест проца по сравнению с php и базой.

avatar
Обязательно нужен чтобы кукловоды могли здесь чувствовать себя в безопасности.
avatar
Херасе «спицилистов» набежало, а пацаны-то и не знают :)

Наличие https на рейтинг в Google пока практически не влияет. Пробовал на паре своих почти одинаковых ресурсов, на одном https c c 2014 года, второй работает по без secure connection — разница практически незаметна, в рамках статпогрешности.

Единственный неприятный момент, который может заставить поменять что-то, так это то что во всех популярных браузерах после последних апгрейдов появляется информация о том, что сайт не использует безопасное соединение. ИМХО, для Смартлаба это не смертельно. Это неприятно для Интернет-магазинов, где такая надпись будет пугать часть старых пердунов из числа клиентов, которые ничего не смыслят в современных IT технологиях.

Я бы ограничился исключительно запросом сертификата на страницах, которые требуют авторизации, их на сервере крайне мало, так что необходимости апгрейдить сервак не возникнет. Это, кстати, совпадает и с требованиями Гугла, который вовсе не обязывает использовать HTTPS на всем сервере, лишь приветствует его использование на страницах где нужна авторизация, например в корзинах магазинов и т.п.

Короче, минимум полгода даже не дергаться в этом направлении. Кстати, у HTTPS есть и обратная сторона — перестанут работать некоторые старые браузеры на подобных страницах. Так что не тара пися. 
avatar
AP, 
Это, кстати, совпадает и с требованиями Гугла, который вовсе не обязывает использовать HTTPS на всем сервере, лишь приветствует его использование на страницах где нужна авторизация, например в корзинах магазинов и т.п.

Есть пруф?
AP, 
Я бы ограничился исключительно запросом сертификата на страницах, которые требуют авторизации, их на сервере крайне мало

лол, тут форма логина на всех страницах.
avatar
nk1, осел, если есть форма логина, это не значит, что каждый раз отправляются данные логина. именно их предполагается шифровать.
Этот адрес запрашивается только тогда, когда кто-то логинится.
на https будет сильно медленее
avatar
evgen000, посмотрите сравнение, в реальной жизни немного похуже, но всё равно гораздо быстрее, чем простой http.
avatar
Lev, ту страницу писал какой-то феерический долбо*б. Он что там вообще сравнивает? Скорость выполнения алгоритма шифрования на клиенте? Или однократный сеанс?
Вы понимаете, что просадка будет пропорциональна нагрузке на сервер? Каждый подключенный клиент будет отжирать, и это будет отражаться на всех клиентах. Про выполнение на стороне клиента тут вообще разговора нет
но всё равно гораздо быстрее, чем простой http.

То есть, дополнительная операция ускоряет выполнение кода по-Вашему?
sortarray sortarray

Ха-ха, этот бот sortarray, не только в экономике профан, но и в вебе тоже.
avatar
nk1, а конкретней? Или ты просто дешевая трепливая никчемная телка? Что именно не так я сказал, обоснуй
nk1, ты, видать, такой же «программист», как сдешний юродивый кробот, судя по твоей реакции, иди детей циклам обучай, не лезь к большим дядям в разговор, амеба
sortarray sortarray, иди в песочнице играйся, бот :)




avatar
nk1, ты что картинки суешь? Думаешь соскочить, под дурачка? Конкретно по теме есть что сказать? Ты ведь в матчасть вроде пытался влезать, или мне показалось? Ты все таки дешевая визгливая телка, которая слова знакомые ищет, или имеешь представление?
sortarray sortarray, конкретно по теме я с ботами на зарплате не разговариваю, а просто над ними издеваюсь :)
avatar
nk1, а, ну обтекай тогда, если нравится. Я то думал, а вдруг? Ан нет.
Я, дурачок, сервера писал с нуля, когда ты еще под стол пешком ходило, кого ты учить вздумало?
sortarray sortarray, ты школьник по всем вопросам, на которые пытаешься писать на этом сайте.
avatar
nk1, все с тобой ясно пустобол
sortarray sortarray, Это ты говоришь, который даже не знает как выдача гугла работает? Иди учись лучше
nk1, Солидарен. Просто строит из себя програмиста, а сам наверное по образованию мед сестра
sortarray sortarray, при чём тут дополнительная операция и о каком коде вы говорите? Вы для начала почитайте спецификацию протокола HTTP/2 и чем он отличается от первой версии. И может тогда поймёте, что замеряется в том тесте. А потом уже будете ярлыки навешивать на других.
avatar
Lev, Что значит причем? Вы утверждали, что, якобы, https, быстрей чем http, это Ваши слова?
Вот я спрашиваю, как вы себе представляете, что при выполнении дополнительной операции код ускоряется. Зачем Вы в сторону вопрос уводите? Ваше утверждение безотносительно протокола, вообще в контексте программирования — нонсенс.
Или я что-то не так понял?

о каком коде вы говорите? 

О серверном вестимо, lol
Lev, Что молчите? Вы в этом что-то понимаете вообще? Чем по вашему отличается http от https? Вы понимаете, что основная разница в контексте скорости выполнения и нагрузки на сервер в том, что те же самые данные, которые гоняются по http надо еще шифровать дополнительно? Это, по-вашему бесплатная операция? Допустим, даже, она почти бесплатная, или ничтожная, но ведь это все равно дополнительный расход, как это может ускорить код или разгрузить сервер?
sortarray sortarray, я про «ускорение кода» и «разгрузку сервера» ничего не говорил, читайте внимательнее и не передёргивайте.
Исключительно про раздачу клиентам контента и радикальное ускорение данного процесса при переключении на https и http/2. Программирование тут вообще не при чём. Да, сервер потребляет больше CPU, но по нынешним временам это как правило не критично (на посещаемости СЛ). 
avatar
Lev, 
 я про «ускорение кода» и «разгрузку сервера» ничего не говорил, читайте внимательнее и не передёргивайте.
Исключительно про раздачу клиентам контента и радикальное ускорение 

То есть по-вашему, скорость раздачи контента от производительности сервера не зависит?
sortarray sortarray, шифрование https на современных серверных процессорах практически не оказывает никакого негативного влияния на производительность. В пределах нескольких процентов дополнительной загрузки CPU.
avatar
Lev, Вы вообще не понимаете того, о чем беретесь рассуждать. Вы можете выделять серверному процессу фиксированное количество времени, и тогда это на CPU вообще никакого влияния не окажет, но это окажет ох*енное влияние на обслуживание клиентов, они будут больше ждать отклика сервера, который будет обслуживать их медленней. Данная серверная мощность всегда шарится между текущими клиентами, и чем их больше, тем медленней отклик, причем это будет справедливо для любой модели — асинхронщины, тредов, последовательного обслуживания, etc

Это примерно то же самое, как если в магазине стоит очередь, которую обслуживает одна продавщица. Для каждого клиента продавщица выделяет какое-то время, и если Вы ее озадачили дополнительной операцией на каждого клиента, то каждый из клиентов будет ждать дольше на суммарное время данной дополнительной операции.
Если Вы возьмете более проворную продавщицу(более мощный проц) то это решит часть проблемы, но __данный__ проц будет в любом случае загружен по самые уши, не определите Вы там ничего по его текущей загрузке, она будет падать и расти только в определенном диапазоне, в остальном это будет выливаться в скорость отдачи.
Вы вообще не понимаете того, о чем беретесь рассуждать
sortarray sortarray, всё, уделали. Пойду в понедельник заявление писать, «по собственному».
Вы по-моему вообще так ничего и не поняли, из того, что вам тут пишут (не только я). Откланиваюсь.
avatar
Lev, да, если действительно заняты в IT, то стоит написать, явно. Вы реально них*ра не понимаете даже основы работы компьютера
Lev, 
не только я)

Да-да, Ваш друг еще не такое тут понаписал, про формы на страницах, например.
smart-lab.ru/company/smartlabru/blog/406021.php#comment7335320
Я думал, что Вы чуть посерьезней.
sortarray sortarray, осспидя, да вы просто непроходимый тупица. Ни сарказма не понимаете, ни читать совершенно не умеете, да и выводы какие-то глупые делаете. И не пишите уже «Вы» в таком контексте по три раза в одном предложении, глазам же больно от такого насилия над русским языком!

Мы тут обсуждаем дополнительную нагрузку на процессор и требования к серверным ресурсам при переходе на https и не более того.

Вам привели (спасибо @DeltaZero) ссылку на исследование реальных практиков из CDN-сервиса:

CPU Load

There is also an encryption process between the browser and the server in which they exchange information using a process known as asymmetric encryption. However tests between encrypted and unencrypted connections show a difference of only 5ms, and a peak increase in CPU usage of only 2%. In January 2010, Gmail switched to using HTTPS for everything by default. They didn’t deploy any additional machines or special hardware and on their frontend machines, SSL/TLS accounted for less than 1% of the CPU load.

По их тестам дополнительная нагрузка на CPU составила аж целых 2%! Два процента, Карл! А google при переключении почты даже не добавлял дополнительные фронты, т.к. прирост нагрузки составил менее 1%. Один процент дополнительной загрузки CPU! О чем тут говорить? О каких асинхронных продавщицах?

И чуть ниже:
If you are running on HTTP/2 (HTTPS) this only requires a single connection per origin which means few sockets, memory buffers as well as TLS handshakes. Because of this it you might be able to handle more users with fewer resources as opposed to HTTP
В силу особенностей протокола http/2 получается обрабатывать больше пользователей меньшими ресурсами по сравнению в http!

Добавлю, что мой личный опыт (несколько сотен серверов под управлением) полностью подвтерждает выводы, сделанные в данном исследовании. Никакого существенного оверхеда от использования шифрования на современных процессорах не замечено, а скорость отдачи страниц — возросла. Так что повременю с походом в отдел кадров.

Можете не утруждать себя ответом.
avatar
Lev, Я Вам могу лишь повторить: Вы не в теме, это видно любому, кто более или менее соображает. Сначала Вы вообще говорили про коней в вакууме, утверждая, что оверхеда вообще нет, теперь перескочили на загрузку CPU, вас вдруг осенило, что есть еще операция шифрования, о чем Вы до этого не догадывались, lol, но это тоже непосредственного отношения не имет, вы так них*я и не поняли смысл? Более позорных отмазок, чем от Вас я ни разу не слышал даже. Зачем так позорится — не понимаю. Но дело Ваше
Lev, И ваши цитаты про преимущества 2-й версии http(там про сохраненные соединения — keep-alive, у вас написано, если че, Вы хоть пытались прочитать, то что цитируете?) к данной теме ни малейшего отношения не имеет, зачем Вы постите этот бред?
evgen000, не будет
avatar

конечно нужен!) сниферы big data не дремлют
можно как на сайте ЦБ запустить 2 версии:
кому надо https — зайдут туда, кому нет -все как обычно.

avatar
gardist, везде где есть https, возможность http остается, как правило. Это от заголовков зависит, которые юзер просто не видит, потому что современные браузеры по умолчанию отправляют заголовок upgrade-insеcure-requests: 1, что означает для сервера, отдать зашифрованные данные даже в том случае, если запрос идет по http(точней — перенаправить клиента на шифрованную версию). Выставляйте вручную этот заголовок в 0, и будет Вам http.
Но это еще и от конфигурации сервера зависит

конечно нужен
1) трафик не шифруется, это значит любой владелец устройства, через которое идет идет трафик может получить всю инфу
2) можно перехватить пароль
3) сисадмин какого-нибудь провайдера, через которого идет трафик, легко получает пароль и всю инфу
4) школьник-владелец какой нибудь вайфай точки тоже легко получает пароль

это все растраивает )

https вообще ничего не стоит, сделать сертификат — который стоит копейки или вообще бесплатен и настроить nginx
трудозатраты для опытного специалиста часа 1-4, основное время уйдет на розбор внутренней архитектуры смартлаба 

avatar
Secret, 
трудозатраты для опытного специалиста часа 1-4, основное время уйдет на розбор внутренней архитектуры смартлаба 

А зачем там знание внутренней аритектуры? Можно ведь просто шифровать весть трафик на выходе, не?
А на разбор архитектуры такого сайта(он же самописный, и достаточно сложный), за 3-4 часа — это очень оптимистично. Как бы не 3-4 месяца:)
Но его одни и те же люди сопровождают, насколько я понял, поэтому с этим проще.
не нужен
avatar
Тимофей, только не делай жесткий редирект с http на https.
Иначе — выдача просядет на пару месяцев.

Сделай, чтоб обе версии открывались. Со временем они склеятся.

Можно только 1 главную страницу редиректить, чтоб поисковики подхватили https и начали его индексировать.
avatar
Не нужен
тут и вопрос не стоит, ибо вынужден будешь перевести на хттпс, чтобы трафик с гугла не потерять)

бонусом пойдет http/2
Если есть Магазин(купи, продай, гарантируй) сделку то нужен. Он же и окупит новое железо. Не вечно же сидеть на рекламных деньгах., поток большой можно схемы работы магазина придумать.
П.С. Донатство очень сильно развивается.
avatar
Нужен. Стоит копейки, сайту по всем рейтингам плюс.
avatar

теги блога Тимофей Мартынов

....все тэги



UPDONW