Dla dociekliwych, artykuł źrodłowy na ArsTechnica:
http://arste(...)g-it.ars

Co za bzdura - https bardo ładnie działa z Wirtualnymi hostami (sam stosuję na wielu serwerach).

Problem z buforowaniem można rozwiązać na różne sposoby (w najprostszym przypadku, nie szyfrować całych stron a jedynie wrażliwe dane).

Moim zdaniem głównie przyczyny niestosowania https to:
1 Brak osoby która potrafi skonfigurować serwer jak trzeba (nieletni syn sąsiadki który rysował stronę prawdopodobnie sobie z tym nie poradzi).

2 Trzeba wykupić certyfikat, nawet jeśli jest to tylko kilkanaście dolarów rocznie to dla niektórych to już spory wydatek i nie można tak po prostu postawić strony i zapomnieć, trzeba o niej pamiętać.

Zawsze jest sens stosować szyfrowany protokół. Inną sprawą jest kompromis, na jaki decyduję się, używając serwisu bez szyfrowania, wiedząc, że transmisja może być podglądana.

Zgadzam się z tym co napisał Borubar. Chciałbym jeszcze dodać, że nie zawsze taki certyfikat jest potrzebny. Weźmy chociażby tą witrynę - Dziennik Internautów. Instalacja protokołu SSL w tym serwisie byłaby bez sensu. Ale w przypadku np. sklepów internetowych wybieram te, które taki certyfikat oferują.

Strony zabezpieczone certyfikatami SSL są potrzebne wszędzie tam gdzie ma miejsce przepływ pieniędzy lub/i przetwarzane są dane osobowe. W pozostałych sytuacjach takie zabezpieczenie jest zbędne.

Jesli chodzi o wirtualne hosty to wszystko zalezy od dostawcy pakietu hostingowego. Rozni dostawcy uzywaja roznych platform i konfiguracji programow.

VPS natomiast elegancko sobie radzi z tym.

https wcale nie musi wiązać się z "aż takimi" kosztami - da się spokojnie znaleźć nawet roczne i dwuletnie ośrodki certyfikacji w pełni akceptowane przez główne systemy operacyjne i przeglądarki), a szyfrowanie znacznie wzmacnia bezpieczeństwo - zwłaszcza w erze wi-fi, gdzie przechwycenie czyjejś transmisji nie stanowi specjalnego problemu... Opóźnienia i narzuty czasowe są oczywistym faktem - dane trzeba szyfrować i deszyfrować, ale moim zdaniem przy dzisiejszych prędkościach połączeń internetowych i mocy obliczeniowej komputerów, każda strona, która używa logowania, a zwłaszcza przesyłająca potem np. hasła pocztowe, powinna mieć obsługę szyfrowanej transmisji.

Sklepy powinny (niestety nie można powiedzieć że muszą) korzystać z SSL. Nie wyobrażam sobie kupowania bez zabezpieczenia chociażby procesu zamawiania (kupowania), bo nie zawsze jest szyfrowany proces logowania (np. helion).
Jakby nie patrzeć na problem loginy oraz hasła są to rzeczy poufne zawsze i witryny oferujące rejestrację przetwarzają te poufne informacje.

A co jeśli strona korzysta z zewnętrznych skryptów typu Google Maps, gdzie ssl jest dostępne tylko w wersji płatnej Premiere?
Nikt się nad tym nie zastanawia, ale czasami konieczne jest integrowanie strony z zewnętrznymi usługami i wtedy będą nam się pojawiały dziwne komunikaty na stronie.
Nie jestem przeciwnikiem ssl, ale nie do każdej strony jest to potrzebne i czasem problematyczne.

markac: wczoraj zintegrowałem swój serwis z Google Maps bezpłatnie i bez żadnych problemów.

Masz natomiast rację, że nie wszystkie serwisy oferują taką funkcjonalność. Weźmy na to np. AdTaily. Musiałem z niego zrezygnować, ponieważ on nie wspiera SSL.

Tak więc co do zasady to masz rację, choć ponany przez Ciebie przykład z Google Maps jest akurat nietrafiony.

~Tomek, dlaczego nietrafiony? Informacje mam ze strony Google Maps. Nie oferują w wersji darmowej SSL-a a mapy (kafelki) nie są pobierane po https, nawet jak pobiera Ci skrypt googla po https. Wiem, bo to przerabiałem.