他の Heroku アプリケーションで使用される Heroku アドオンである Web サービスを開発しています。サービスを提供するサーバーとすべての Heroku アプリケーションは、Amazon EC2 内で実行されます。サービスを HTTPS 経由で利用できるようにする必要がありますか?それとも不必要なやり過ぎですか? 一般的な慣行とは何ですか?
HTTPS のパフォーマンスが過熱し、クライアント コードがより複雑になることを心配しています (クライアントは、サービス ID を検証するためにキーを管理する必要があります)。また、トラフィックが暗号化されていたとしても、中間者攻撃には Amazon インフラストラクチャの侵害が必要になるようです。これにより、サービスを侵害する他の多くの方法が可能になります。
HTTPSを使用すると、最新のハードウェアで追加されるCPUオーバーヘッド が1%未満になります。
中間者攻撃では、Amazonインフラストラクチャの侵害は必要ありません。これは、クライアントとサーバーの間のどこでも発生する可能性があります。また、AWSのインフラストラクチャ自体が安全であるからといって、クラウドにプロビジョニングしたリソースが安全であるとは限りません。
私のサービスはHTTPS経由で利用できるべきですか、それとも不必要なやり過ぎですか?一般的な慣行は何ですか?
詳細がなければ、何もお勧めするのは難しいです。APIはランダムな猫の写真を返しますか、それとも医療記録を保存しますか?ただし、SSLはますます一般的になっています。あなたがそれを考えているのであれば、それが合理的な考えである可能性が高いです。