Казалось бы, все специалисты по безопасности сходятся во мнении о необходимости использовать защищённые коммуникации по протоколу SSL/TLS. Но есть и противоположная точка зрения. Группа исследователей из университета Карнеги-Меллона, Туринского политехнического института и компании Telefónica Research опубликовала результаты исследования (PDF) о так называемых «накладных расходах», связанных с использованием HTTPS.

По мнению авторов работы, за повышение безопасности приходится платить замедлением загрузки сайтов, ускоренным расходом заряда аккумулятора на мобильных устройствах и лишением некоторых внутрисетевых сервисов от оператора сотовой связи.

Нужно сказать, что среди авторов работы — сотрудник крупнейшего испанского оператора связи Telefónica. Вероятно, спонсируя такие исследования, оператор пытается оправдать отказ от использования HTTPS.

Особенно Telefónica переживает за невозможность применения на зашифрованном трафике внутрисетевых сервисов, таких как файрвол, антивирусное ПО и кэширующий сервис.

Кроме того, в некоторых условиях применение HTTPS увеличивает задержку (latency) при установке сетевых соединений: «HTTPS требует дополнительного раунда рукопожатия между клиентом и сервером, вдобавок к дополнительной вычислительной нагрузке для выполнения криптографических операций, — сказано в отчёте. — Тесты показали, что использование HTTPS значительно увеличивает время загрузки».

Дополнительную задержку, пусть и маленькую, нельзя игнорировать, считают эксперты, «особенно в мире, где одна секунда может стоить продаж на $1,6 млрд».

Использование HTTPS не слишком влияет на расход заряда аккумулятора, но это происходит из-за отказа от кэширования контента. Смартфоны и планшеты вынуждены скачивать повторно файлы из Сети, на что уходит дополнительная энергия.

По результатам исследования, примерно половина сетевого трафика сейчас передаётся по HTTPS, в том числе 50% видеороликов с YouTube. Это значительно больше, чем было ещё пару лет назад. На диаграмме показана доля защищённого трафика на YouTube и Facebook за последние 2,5 года.

003

Авторы работы, однако, замечают и тот факт, что стоимость внедрения HTTPS с годами снизилась, да и есть способы, как решить существующие проблемы (например, с помощью рукопожатий 0-RTT).



14 комментария

  1. 08.12.2014 at 12:49

    за повышение безопасности приходится платить замедлением загрузки
    сайтов, ускоренным расходом заряда аккумулятора на мобильных устройствах
    и лишением некоторых внутрисетевых сервисов от оператора сотовой связи

    Бла-бла-бла. А то не знали этого раньше.

    Дополнительную задержку, пусть и маленькую, нельзя игнорировать, считают
    эксперты, «особенно в мире, где одна секунда может стоить продаж на
    $1,6 млрд».

    Да-да-да. Так что чем больше миллиардов, тем открытее мы будем проводить транзакции. Очень умно.

    • 08.12.2014 at 14:01

      Кстати, в «выводах» оригинальной работы, отказ от https вроде как не предлагается. Правда, рекомендации тоже не сахар: создать «доверенные https-прокси». После чего можно будет действительно отказаться от https — смысла не останется никакого.

  2. 08.12.2014 at 13:36

    Вопрос лежит не нужно это, а сколько оно денег приносит. Как задрали эти жлобы…..

  3. 08.12.2014 at 13:38

    Ну вообще охуеть. Сноуден уже привёл много примеров, когда служаки США в разных компаниях добивались ухудшения стандартов защиты. Теперь принялись в открытую агитировать.

  4. http://www.fractalizer.ru

    08.12.2014 at 13:39

    С каких это пор HTTPS не кешируется браузерами?

    • 08.12.2014 at 13:53

      Насколько я понял, в оригинальной работе имеется в виду кэширование на стороне провайдера, а вовсе не пользователя.

      • http://www.fractalizer.ru

        08.12.2014 at 14:59

        Похоже, что так и есть. Перевод не слишком удачен вышел, мне кажется.

  5. 08.12.2014 at 16:22

    А меня достают постоянные предупреждения о невалидных сертификатах. И еще adblock для android плохо работает с HTTPS

  6. 08.12.2014 at 16:31

    А когда всё-таки будет HTTPS на «Хаkере» ?

  7. 08.12.2014 at 18:40

    ЭТО ТЕ, ЧЬЁ ДЕРЬМО ВПИЛИЛИ В FIREFOX ПОД БРЕНДОМ FIREFOX.HELLO. +2 КОРПОРАЦИИ ЗЛА В СПИСКЕ.

  8. 08.12.2014 at 19:46

    +1, промежуточно может он и не может кешироваться, но на выходе-то всё равно будет…

  9. 09.12.2014 at 03:47

    Ваще поехавшие. «Время на 0.04 секунды больше тратится, кошмар, сколько можно всего сделать», «В трафик нельзя поднасрать, это беда жуткая». Про кэш они бы лучше не заикались. Не кэширует в таком случае провайдер, а не браузер.

  10. http://romanakamagician.tumblr.com/

    10.12.2014 at 22:11

    Читать как «мы против использования замков на дверях, ведь кто-то кому нужна помощь не сможет забежать к вам в гости за ножом, чтобы защитится от маньяка»

Оставить мнение