我计划构建一个应用程序,我的用户可以在其中创建帐户、向其他用户发送电子邮件等。该网站还将提供论坛、聊天等功能。它还需要处理信用卡。我正在尝试决定网站的哪些部分应该使用 https。现在我想知道将整个网站置于 SSL 下是否会有任何问题。
有什么建议么?
答案1
建立 SSL 连接会产生一些处理开销,但在现代机器和负载较轻的网站上,这可能不会太明显。
如果您的论坛上有用户发布来自您网站外部的图片,人们将看到 SSL 混合内容警告(您的网站是 SSL 的,但有些资产不是 SSL 的)。根据您的用户数量,这可能会让一些人感到害怕。
答案2
如果你正在处理信用卡数据,那么也值得阅读相应的标准。你需要符合 PCI-DSS 标准。维基百科有指向适当的文件。
答案3
请注意,使用 SSL 时需要进行一些权衡。
这会增加通信开销,从而导致您的网站响应速度变慢。此外,您的客户端需要拥有 SSL 证书才能访问您的服务器。
一些重要、敏感的数据应该被加密,比如登录名、凭证信息。