Zitat Zitat von Mawal Beitrag anzeigen
zwei kleine Anmerkungen:

1. SSL ist veraltet, der aktuelle Standard ist TLS

https://www.globalsign.com/en/blog/s...ls-difference/


2. zum Thema Performance

So wild scheint es nicht zu sein
https://www.keycdn.com/blog/https-performance-overhead/

Ich habe SSL als Synonym für "Webverschlüsselung" verwendet.
Natürlich gibt es unzählige Varianten, von denen viele auch geknackt wurden und trotzdem als verschlüsselte Kommunikation anerkannt sind. Auch TLS wurde schon geknackt... kommt halt auf die Version an

Die Performancemessung aus dem Beitrag setzt sämtliche Technologoie ein, die in der Praxis kaum jemand fertig konfiguriert anbietet. Kann man eigentlich nur machen, wenn man seinen Server selbst betreibt.
HTTP/2 und Nginx wirst du bei den wenigsten Hostern voreingestellt finden, viele Browser können das auch noch nicht. Für Php7 sind auch viele Projekte nicht bereit oder nur mit Einschränkungen. Unter Laborbedingungen ist das alles ganz toll, nur in der Praxis leider noch nicht so weit.

Ich will SSL/TLS ja nicht schlecht reden und begrüße den Einsatz sogar sehr.
Ich wollte nur aufzeigen, dass die Medaille immer zwei Seiten hat.
Wo sensible Daten übermittelt werden, muss verschlüsselt werden, ganz klar.
Nur warum die Imageseite einer Firma verschlüsselt ausgeliefert werden muss, obwohl darauf null vertrauliche Information übermittelt wird, ist zumindest technisch nicht nachvollziehbar. Mna erhöht damit dann nur die gefühlte Sicherheit und kann sich dann damit brüsten, "Schaut her, wir verschlüsseln unseren Internetauftritt", nur ist das kein tatsächlicher Sicherheitsgewinn.

Wie auch immer, ich gehe davon aus, dass in wenigen Jahren (wenn sich auch HTTP/2 etabliert hat) quasi nur noch verschlüsselte Webseiten angeboten werden.