Je vois beaucoup de messages sur le Web demandant s'ils devraient ou non utiliser SSL pour sécuriser leur site Web, ou s'il est vraiment nécessaire de le faire lorsque le contenu de leur site ne contient pas ou ne demande pas de données sensibles.
Supposons ici que le coût du certificat n'est pas le problème, étant donné qu'il n'est pas extrêmement coûteux d'obtenir un certificat SSL. Pourquoi voudriez-vous même héberger une page qui n'est pas sécurisée avec SSL? La plupart des serveurs Web prennent en charge SSL hors de la boîte, et il est généralement assez simple de le configurer (en particulier avec IIS).
Il y a un certain nombre de raisons de ne pas utiliser SSL, aucune d'entre elles n'étant une bonne raison en soi, mais cumulativement, elles peuvent expliquer beaucoup de choses.
La principale raison de ne pas utiliser SSL est un effet de la force la plus forte de l'Univers, à savoir la paresse. Quelle que soit la configuration de SSL, pas la configuration sera toujours plus facile. Cela explique à lui seul pourquoi tant de sites utilisent toujours HTTP uniquement, pas HTTPS. Un grand nombre de sites peuvent s'en tirer et ne pas être attaqués, car il n'y a tout simplement pas assez d'attaquants pour attaquer chaque site, de loin (et les attaquants ne sont pas moins paresseux que tout le monde).
Entre autres raisons, on peut citer les suivantes:
L'hébergement de plusieurs sites Web HTTPS avec des noms distincts sur la même adresse IP a longtemps été difficile, surtout lorsque les différents sites ne se connaissent pas (soit le serveur utilise un certificat avec tous les noms, mais cela peut entraîner des associations apparentes et malheureuses , ou le serveur s'appuie sur SNI , qui ne fonctionne pas avec Internet Explorer sur WinXP).
SSL empêche certains types de mise en cache, en particulier le proxy transparent que certains FAI apprécient beaucoup. Cela implique des exigences de bande passante supplémentaires pour le serveur (les données matérielles sur l'augmentation sont difficiles à obtenir et dépendent du type de site; par exemple, une interface de messagerie Web comme Gmail ne bénéficierait probablement pas d'une mise en cache lourde de toute façon, contrairement à un site riche en images).
Dans les jours (beaucoup) plus anciens, les sites Web HTTPS n'étaient pas indexés aussi complètement que les sites non SSL, ce qui donne l'idée répandue que vous obtenez une meilleure indexation en évitant SSL (que l'on s'est trompé depuis un certain temps maintenant, mais les vieilles idées sont difficile à éradiquer).
Certaines personnes ont toujours le sentiment que SSL implique un coût de calcul élevé (celui-ci n'est pas correct non plus, mais reste courant).
Ironie du sort, certaines personnes craignent que l'utilisation de SSL ne donne l'impression qu'elles se soucient de la sécurité, augmentant ainsi le jeu de réputation si (quand) elles étaient piratées. L'idée étant que si vous ne prétendez jamais ou ne laissez pas croire que vous avez jamais prêté attention au concept de sécurité, alors les gens seront peut-être plus indulgents lorsqu'ils découvriront à quel point vous l'ignorez.
En plus de ce que Thomas a dit, des raisons pratiques simples:
pour des services plus petits, un hébergement bon marché qui ne vous donne pas un accès direct pour configurer votre serveur avec des certificats (ou en effet fournir l'adresse IP unique dont vous auriez besoin pour faire SSL jusqu'au jour où nous pouvons vraiment compter sur SNI)
vous devez inclure du contenu tiers (iframes, scripts, etc.) qui n'est pas lui-même disponible via HTTPS, sans déclencher de vilains avertissements de navigateur.
Pourquoi ne devrait-on pas utiliser SSL?
Je ne pense pas que ce soit une bonne question.
Quand et dans quelles conditions vous en sortiriez-vous sans utiliser SSL serait mieux.
En dehors de cela, il serait bon d'avoir SSL à bord.
L'hébergement de plusieurs certificats SSL sur une seule adresse IP avec SNI n'est pas difficile, mais un peu coûteux.
Si vous monétisez votre site Web à l'aide de Google Adsense, vous pouvez gagner moins d'argent sur les pages https.
Google supprime
les annonces non conformes SSL de la vente aux enchères, réduisant ainsi la pression des enchères, de sorte que les annonces sur vos pages HTTPS peuvent gagner moins que celles sur vos pages HTTP.
Les arguments contre SSL répondent généralement à des problèmes de performances ou de configuration ou à des problèmes d'intégration avec des services tiers qui peuvent entraîner des avertissements qui effraient les utilisateurs. Il peut être approprié pour certains sites Web qui ressemblent à des brochures et où l'utilisateur ne soumet aucune information.
D'un autre côté, même si vous avez un site Web de brochure statique, l'utilisation de TLS et de vrais certificats permet de communiquer à vos visiteurs que votre contenu est légitime et intègre. Imaginez un site Web politique purement brochure, si l'attaquant peut faire un certain type d'attaque MitM et modifier le contenu, cela ne nuit pas au visiteur, mais cela vous fait du mal.
En général, à moins qu'il y ait des exigences de configuration ou de performances étranges, il est toujours agréable d'implémenter SSL/TLS. Le risque (attaque ou réputation) peut ne pas être suffisant pour le justifier. En outre, cela peut être difficile sur certains environnements d'hébergement partagé.