Seiten nur teilweise mit SSL geschützt?

timmy38233

Rhode Island Greening
Registriert
20.07.08
Beiträge
474
Hallo,

Ich werde demnächst einen Online-Shop auf einen neuen Server umziehen und im Zuge dessen auch ein SSL-Zertifikat bestellen.

Nun habe ich beim Surfen gemerkt, dass viele Seiten nur Teilbereiche per SSL schützen. Warum wird das so gemacht?
Bei einem großen Online-Versandhaus werden beispielsweise die Produktseiten, die Suche, etc. nicht geschützt, sobald man aber in seinen Benutzerbereich oder zur "Kasse" geht, wird auf https umgestellt.
Klar macht das Sinn dass diese sensiblen Bereiche geschützt werden, aber warum wird die Produktsuche nicht auch mit einbezogen?

Hintergrund ist der, dass ich bei dem Shop nun alles über https geleitet hätte, jedoch gibt es anscheinend Gründe das nicht so zu machen.

Oder liegt es nur daran, dass die Verschlüsselung mehr Rechenleistung pro Anfrage benötigt, was bei vielen Besuchern ja schon einen Unterschied machen kann?
(Das wäre bei uns kein Problem, da der Server für unser Besucheraufkommen gut gerüstet sein wird)

Besten Gruß,
Tim
 

Mitglied 189256

Gast
Wenn man schon ein SSL-Zertifikat hat, ist es eigentlich nur sinnvoll, auch überall SSL zu nutzen.

Aber, solltest du trotzdem die andere Variante wollen, ist hier die einfachste Lösung: Du bindest auf jeder Seite ein PHP-Script ein, welches überprüft, ob du aktuell SSL oder nicht benutzt. Wenn du es dann anders haben willst, setzt du einfach einen Location-Header und leitest auf die Verschlüsselte/unverschlüsselte Seite weiter.
 

timmy38233

Rhode Island Greening
Registriert
20.07.08
Beiträge
474
Danke für die Antwort!

Ich habe schon vor überall SSL zu nutzen! Deswegen wundere ich mich ja, dass große Anbieter das nicht so machen und wollte nun einen möglichen Grund (neben dem "Leistungsproblem", falls das überhaupt existiert) wissen :p
 

Mitglied 189256

Gast
Ich kann mir das nur mit der Freude an fremden Daten erklären. Warenkorb und so werden dann nur geschützt, damit der Benutzer nicht misstrauisch wird. Das ist meine Meinung dazu, da es einfach keinen sinnvollen Grund für weniger Datenschutz geben kann. Ich lasse mich aber auch eines besseren belehren.
 
  • Like
Reaktionen: timmy38233

hillepille

Melrose
Registriert
19.07.09
Beiträge
2.508
KOmmt ggf. auch auf das eingekaufte Produkt an. Ich habe mal für einen Kunden gearbeitet, bei dem war der Shop auch nicht per SSL gesichert, der Kaufvorgang dann aber schon. Hintergrund war, dass der SSL über 1&1 eingekauft hat, die URL lautete dann iwie https://kundenshop.... Der Shop an sich war über die eigentliche Domain aufrufbar und nur zum bezahlen ging es auf die 1&1-URL, wobei ich nicht mehr weiß, ob das überhaupt für den Kunden sichtbar angezeigt wurde oder in nem Frame lief.
 

hosja

Mutterapfel
Registriert
23.03.07
Beiträge
5.248
Ich denke mal das viele aus Performancegründen nur das Checkout mit SSL machen.
 

hillepille

Melrose
Registriert
19.07.09
Beiträge
2.508
Performance (Latenz und Cachingmöglichkeiten) dürfte heute ja eher kein Problem mehr sein. Aber du kannst auf nem virtuellen Host einfach kein SSL anbieten, dazu brauchst du ne eigene IP-Adresse pro Angebot. Bei den großen Hostern liegen i.d.R. zig Webseiten auf der gleichen IP, denke das hängt eher damit zusammen. Und nen eigener Server ist schon deutlich teurer, dazu kommen dann zusätzlich noch die Kosten für das Zertifikat, das ist vielen zu teuer. Klar Angebote wie Amazon, etc. da sollten die Kosten keine Rolle spielen, aber bei den vielen kleinen Shops sieht das meist anders aus.
 

SomeUser

Ingol
Registriert
09.02.11
Beiträge
2.070
Moin!

Der Grund ist tatsächlich die Performance. Lassen wir mal kleine Websites außen vor, aber hast du dir - selbst bei einem dedizierten Server - mal angeschaut, was teilweise an Last entstehen kann, wenn mehrere hundert oder gar tausend Leute gleichzeitig per SSL-verschlüsselter Verbindung auf eine Seite zugreifen? Über vHosts müssen wir uns da nicht mehr unterhalten - und selbst bei dedizierten Servern kommt man da schneller an Grenzen, als man es vermuten würde.

Generell würde ich es aber davon abhängig machen, um was für einen Dienst es sich handelt und was an Daten ggf. ausgetauscht wird. Bei einem normalen IT-Shop z.B., dürfte die SSL-geschützte Verbindung im Bereich der Dateneingabe für Zahlung, Lieferadresse etc. ausreichen. Bei meiner Bank hingegen, will ich natürlich das gesamte Onlinebanking verschlüsselt haben.

Die Frage kann man also auch anders stellen: Werden während der Nutzung der Seite aktiv oder im Hintergrund (z.B. durch Javascript) irgendwann (potenziell) sensible Daten ausgetauscht (hier lieber im weiteren, als im zu engen Sinn an die Fragestellung herangehen - also z.B. bei einem Erotikshop eher grundsätzlich mit SSL arbeiten, denn nur weil *ich* recht liberal bin, muss es der potenzielle "Schnüffler" ja nicht auch sein...)? Dann ist eine Verschlüsselung an dieser Stelle angebracht. Ansonsten: Unnötig, weil kein Nutzen.

Hast du genügend Rechenkapazität in Petto und sollte sich das nicht ändern, kannst du natürlich überall SSL einsetzen und am besten noch werbewirksam darauf hinweisen ("Uns ist ihre Privatssphäre wichtig" etc. pp.).
 
  • Like
Reaktionen: timmy38233

Slashwalker

Winterbanana
Registriert
15.05.06
Beiträge
2.213
Performance (Latenz und Cachingmöglichkeiten) dürfte heute ja eher kein Problem mehr sein. Aber du kannst auf nem virtuellen Host einfach kein SSL anbieten, dazu brauchst du ne eigene IP-Adresse pro Angebot. Bei den großen Hostern liegen i.d.R. zig Webseiten auf der gleichen IP, denke das hängt eher damit zusammen. Und nen eigener Server ist schon deutlich teurer, dazu kommen dann zusätzlich noch die Kosten für das Zertifikat, das ist vielen zu teuer. Klar Angebote wie Amazon, etc. da sollten die Kosten keine Rolle spielen, aber bei den vielen kleinen Shops sieht das meist anders aus.
Das mit der dedizierten IP war früher mal. Dank SNI geht es heute auch mit shared IP.
Moin!

Der Grund ist tatsächlich die Performance. Lassen wir mal kleine Websites außen vor, aber hast du dir - selbst bei einem dedizierten Server - mal angeschaut, was teilweise an Last entstehen kann, wenn mehrere hundert oder gar tausend Leute gleichzeitig per SSL-verschlüsselter Verbindung auf eine Seite zugreifen? Über vHosts müssen wir uns da nicht mehr unterhalten - und selbst bei dedizierten Servern kommt man da schneller an Grenzen, als man es vermuten würde.

Generell würde ich es aber davon abhängig machen, um was für einen Dienst es sich handelt und was an Daten ggf. ausgetauscht wird. Bei einem normalen IT-Shop z.B., dürfte die SSL-geschützte Verbindung im Bereich der Dateneingabe für Zahlung, Lieferadresse etc. ausreichen. Bei meiner Bank hingegen, will ich natürlich das gesamte Onlinebanking verschlüsselt haben.

Die Frage kann man also auch anders stellen: Werden während der Nutzung der Seite aktiv oder im Hintergrund (z.B. durch Javascript) irgendwann (potenziell) sensible Daten ausgetauscht (hier lieber im weiteren, als im zu engen Sinn an die Fragestellung herangehen - also z.B. bei einem Erotikshop eher grundsätzlich mit SSL arbeiten, denn nur weil *ich* recht liberal bin, muss es der potenzielle "Schnüffler" ja nicht auch sein...)? Dann ist eine Verschlüsselung an dieser Stelle angebracht. Ansonsten: Unnötig, weil kein Nutzen.

Hast du genügend Rechenkapazität in Petto und sollte sich das nicht ändern, kannst du natürlich überall SSL einsetzen und am besten noch werbewirksam darauf hinweisen ("Uns ist ihre Privatssphäre wichtig" etc. pp.).
Die Performance ist zu vernachlässigen. Ich habe auch einen kleinen VPS und meine Website läuft nur über SSL. Nicht nur wegen der Sicherheit, sondern vor allem wegen SPDY. Selbst wenn ich mit diversen Load Generatoren auf den Server einhämmer (500 gleichzeitige User), langweilt sich der Server und beantwortet ohne Mühe mehrere Hundert Requests/Sekunde.

Wenn man also SSL anbietet, dann durchgängig.
 
Zuletzt bearbeitet: