Казалось бы, все специалисты по безопасности сходятся во мнении о необходимости использовать защищённые коммуникации по протоколу SSL/TLS. Но есть и противоположная точка зрения. Группа исследователей из университета Карнеги-Меллона, Туринского политехнического института и компании Telefónica Research опубликовала результаты исследования (PDF) о так называемых «накладных расходах», связанных с использованием HTTPS.
По мнению авторов работы, за повышение безопасности приходится платить замедлением загрузки сайтов, ускоренным расходом заряда аккумулятора на мобильных устройствах и лишением некоторых внутрисетевых сервисов от оператора сотовой связи.
Нужно сказать, что среди авторов работы — сотрудник крупнейшего испанского оператора связи Telefónica. Вероятно, спонсируя такие исследования, оператор пытается оправдать отказ от использования HTTPS.
Особенно Telefónica переживает за невозможность применения на зашифрованном трафике внутрисетевых сервисов, таких как файрвол, антивирусное ПО и кэширующий сервис.
Кроме того, в некоторых условиях применение HTTPS увеличивает задержку (latency) при установке сетевых соединений: «HTTPS требует дополнительного раунда рукопожатия между клиентом и сервером, вдобавок к дополнительной вычислительной нагрузке для выполнения криптографических операций, — сказано в отчёте. — Тесты показали, что использование HTTPS значительно увеличивает время загрузки».
Дополнительную задержку, пусть и маленькую, нельзя игнорировать, считают эксперты, «особенно в мире, где одна секунда может стоить продаж на $1,6 млрд».
Использование HTTPS не слишком влияет на расход заряда аккумулятора, но это происходит из-за отказа от кэширования контента. Смартфоны и планшеты вынуждены скачивать повторно файлы из Сети, на что уходит дополнительная энергия.
По результатам исследования, примерно половина сетевого трафика сейчас передаётся по HTTPS, в том числе 50% видеороликов с YouTube. Это значительно больше, чем было ещё пару лет назад. На диаграмме показана доля защищённого трафика на YouTube и Facebook за последние 2,5 года.
Авторы работы, однако, замечают и тот факт, что стоимость внедрения HTTPS с годами снизилась, да и есть способы, как решить существующие проблемы (например, с помощью рукопожатий 0-RTT).