对整个网站使用 HTTPS 并没有错——事实上,这是鼓励的。早在 1990 年代,当计算机硬件还没有今天那么强大时,对所有请求使用 HTTPS 会带来性能下降,但现在不使用全站点 HTTPS 的唯一原因是你买不起 20 美元的证书费用:)
无论如何,你读过的文章是对的。HTTPS支持只能在每个网站的基础上启用,但是您不需要对整个网站强制使用 HTTPS:这由 IIS 中的“需要 SSL/TLS”复选框控制。如果您未选中该复选框,那么用户仍然可以使用非安全 HTTP 浏览该站点。当涉及到结帐页面时,您可以在您的 ASP.NET 代码中实现“需要 SSL/TLS”功能(检查Request.IsSecureConnection属性),例如通过重定向到您网站的安全版本。
有一个不错的模块可以帮助您在 asp.net 中自动从 http 切换到 https
我建议对所有与敏感数据无关的页面使用 http,在有敏感数据的页面上只使用 https。
主要原因是,如果一切都从 https 传递,包括图像,则传输的数据会更多,并且加密和解密它们的时间会增加显示页面的总时间 - 所以你可以避免额外的延迟和计算. 毕竟,所有主要网站都这样做(amazon、ebay、zazzle、cafepress、Endless、Crate 和 Brrel 等)。他们知道的更多——你不觉得吗?
有人告诉我,如果你想实施 HTTPS,这取决于你希望你的网站如何安全。那里有 SSL 证书,可以以便宜的价格购买,但安全性可能会受到限制。高安全性,当然它确实很昂贵,但安全性很高。我相信,如果您想让您的网站尽可能安全,请考虑您可以负担得起的合理价格以确保您的网站安全。希望这个链接会有所帮助。