Wat betreft je argumenten dat SSL misschien lelijk is, waarom wil je het überhaupt gebruiken dan?
Want als ze eenmaal inloggen krijg je precies hetzelfde probleem.
- Ik begreep dat SSL extra server belasting vraagt. Hoeveel: geen idee....
Klopt, tegenwoordig is deze extra belasting mijns inziens minimaal. Pas bij erg drukke sites merk je echt het verschil denk ik. Bij een doorsnee website zou ik dit geen goed argument vinden.
- Verder, misschien weer een raar argument. Veel grote bedrijven hebben website: postbank en een inlog gedeelte pas in https. Ik geef toe, misschien slaat deze denkwijze nergens op.
Dat is ook wat ik bedoelde. Zolang de bezoeker is ingelogd, alles over HTTPS!
Maar als je een site hebt waar de gemiddelde bezoeker zal gaan inloggen kun je net zo goed helemaal alleen maar SSL gebruiken (vind ik). Is nog makkelijker in te stellen.
Uitleg: Een veelgemaakte fout is om alleen de inlogprocedure over HTTPS te doen, en wanneer de gebruiker is ingelogd weer HTTP. Elke keer als de gebruiker een HTTP-request doet, worden zijn cookies vrolijk onversleuteld meegestuurd. Niet heel erg nuttig gebruik van SSL dus...
- Ik dacht, als ik in een virtuele host de php scripts stop waarmee klantgegevens worden uitgewisseld, is dat overzichtelijk.
- Buiten deze argumenten, zou een symbolische link misschien een optie kunnen zijn?
Ik heb geen directe ervaring met dit in te stellen in Apache, omdat ik zelf meestal alles maar HTTPS doe. Maar kun je niet twee vhosts maken die beide naar dezelfde directory wijzen? Dan kun je alles op zowel HTTP als op HTTPS.