サーバーをセットアップしていて、SSL 証明書を持っている場合、購入やログインだけではなく、サイト全体に HTTPS を使用しないのはなぜでしょうか。サイト全体を暗号化して、ユーザーを完全に保護する方が理にかなっていると思います。すべてが保護されるため、何を保護する必要があるかを決定するなどの問題を防ぐことができ、ユーザーにとってそれほど不便ではありません。
サイトの一部ですでに HTTPS を使用している場合、サイト全体で使用しない理由は何でしょうか?
これは関連する質問です:なぜ https はログインにのみ使用されるのですか?しかし、その答えは満足のいくものではありません。その答えは、サイト全体に https を適用できていないことを前提としています。
ベストアンサー1
その他の理由(特にパフォーマンス関連)に加えて、HTTPS を使用する場合は、IP アドレスごとに 1 つのドメインのみをホストできます*。
HTTPでは単一のサーバーで複数のドメインをサポートできるのは、サーバHTTP ヘッダーにより、サーバーはどのドメインで応答するかを認識できます。
HTTPSでは、サーバーは最初のTLSハンドシェイク(HTTPの開始前)中にクライアントに証明書を提供する必要があります。つまり、サーバヘッダーはまだ送信されていないため、サーバーはどのドメインが要求されているか、どの証明書 (www.foo.com または www.bar.com) を使用して応答するかを知る方法がありません。
*脚注: 技術的には、異なるポートでホストすれば複数のドメインをホストできますが、通常はオプションではありません。SSL 証明書にワイルドカードが含まれている場合も、複数のドメインをホストできます。たとえば、* .example.com という証明書を使用して、foo.example.com と bar.example.com の両方をホストできます。