Яка вигода змусити сайт завантажуватися через SSL (HTTPS)?

Скажімо, у мене великий веб-сайт, призначений лише для вмісту; немає входу або виходу, ніяких імен користувачів, жодної адреси електронної пошти, жодної захищеної області, нічого секретного на сайті, нада. Люди просто заходять на сайт і переходять зі сторінки на сторінку і переглядають вміст.

Окрім незначного набряку в SEO від Google ( дуже незначний, з того, що я читав), чи є якась користь змусити сайт завантажуватися через HTTPS?

HTTPS надає не лише секретність (у чому ви сумніваєтесь у цінності, хоча для цього все-таки є вагомі причини), але й справжність , яка завжди має значення. Без цього шкідливий пункт доступу / маршрутизатор / ISP / тощо. може переписати будь-яку частину вашого веб-сайту, перш ніж показувати його користувачеві. Це може включати:

• додавання оголошень для ваших конкурентів
• впорскування реклами чи дратівливих віджетів, які роблять ваш сайт поганим і шкодять вашій репутації
• вводити подвиги для здійснення завантаження зловмисного програмного забезпечення на комп’ютер відвідувача, який потім (справедливо!) звинувачує вас у цьому
• заміна завантаження програмного забезпечення з вашого веб-сайту на такі, що мають в комплекті зловмисне програмне забезпечення
• зниження якості ваших зображень
• видаляючи частини вашого сайту, які вони не хочуть, щоб ви їх бачили, наприклад, речі, які конкурують з їх власними послугами або зображають їх у поганому світлі
• тощо.

Якщо не захистити користувачів від цих речей, це безвідповідально.

"нічого секретного на сайті"

... За вами . Можливо, є ідеальна причина, коли хтось хоче безпечне з'єднання. Це (частково) створює конфіденційність:

Мій адміністратор бачить, що я переглядаю якийсь сайт фотографій на своєму телефоні через URL, але він не може сказати, чи дивлюсь я фото милих котів чи хардкор порно. Я б сказав, що це прокляте гарне приватне життя. "зміст" і "зміст" можуть змінити все в світі. - Агент_L

Ви можете подумати, що це незначно, або, можливо, зараз це не велика справа, але може бути в інший момент часу. Я твердо вірю, що ніхто, окрім мене та веб-сайту, не повинен точно знати, що я роблю.

Це створює довіру. Наявність замок - це знак безпеки, і це може означати певну ступінь майстерності щодо веб-сайту, а отже, і вашої продукції.

Це робить вас меншою мішенню, наприклад, на атаки MitM. Підвищується безпека.

У таких ініціатив, як Let’s Encrypt , які роблять його набагато простішим та безкоштовнішим , не так вже й багато недоліків. Потужність процесора, зайнята SSL, в наші дні незначна.

Ви отримуєте підтримку HTTP / 2 , новий веб-стандарт, розроблений для значного покращення швидкості завантаження веб-сайтів .

Оскільки виробники браузерів вирішили підтримувати HTTP / 2 тільки через HTTPS, включення HTTPS (на сервері, що підтримує HTTP / 2) - єдиний спосіб отримати це підвищення швидкості.

(Частини, взяті з моєї відповіді на подібне запитання.)

HTTPS може досягти двох речей:

• Аутентифікація . Переконайтесь, що відвідувач спілкується з реальним власником домену.
• Шифрування . Переконайтесь, що лише цей власник домену та відвідувач можуть читати їх спілкування.

Напевно, всі згодні з тим, що HTTPS повинен бути обов'язковим при передачі секретів (наприклад, паролів, банківських даних тощо), але навіть якщо ваш сайт не обробляє такі секрети, є кілька інших випадків, коли і чому використання HTTPS може бути корисним.

Зловмисники не можуть підробляти запитуваний вміст.

Під час використання HTTP підслуховувачі можуть маніпулювати вмістом, який відвідувачі бачать на вашому веб-сайті. Наприклад:

• Включаючи зловмисне програмне забезпечення до програмного забезпечення, яке ви пропонуєте для завантаження (або якщо ви не пропонуєте жодної завантаження програмного забезпечення, зловмисники починають це робити).
• Цензура частини вашого вмісту. Зміна ваших думок.
• Введення реклами.
• Заміна даних вашого рахунку на пожертви власними.

HTTPS може запобігти цьому.

Зловмисники не можуть читати запитуваний вміст.

Під час використання HTTP підслуховувачі можуть дізнатися, до яких сторінок / вмісту у вашому хості відвідувачі отримують доступ. Хоча сам контент може бути загальнодоступним, знання, які конкретна людина споживає, може бути проблематичним:

• Він відкриває вектор атаки для соціальної інженерії .
• Це порушує конфіденційність.
• Це може призвести до нагляду та покарання (аж до ув’язнення, тортур, смерті).

Це, звичайно, залежить від характеру вашого контенту, але те, що здається вам нешкідливим, зміст може трактуватися іншими сторонами.

Краще будьте в безпеці, ніж вибачте. HTTPS може запобігти цьому.

Це заважає людині посеред атакувати, які змушують вас думати, що ви відвідуєте ваш сайт, але представляєте сторінку, яка насправді є іншою, і може спробувати отримати інформацію від вас. Оскільки дані зашифровані, зловмиснику також важче маніпулювати сторінкою, якою ви її бачите.

Оскільки вам потрібен сертифікат SSL, який підтверджує, що ви власник сайту, як мінімум, даючи хоча б деяку перевірку того, хто ви є.

Такі маркетингові фірми, як Hitwise, платять провайдерам, щоб збирати дані про ваш сайт, коли ви не використовуєте SSL. Збираються дані про ваш сайт, про які ви, можливо, не знаєте своїх конкурентів:

• демографічні дані користувачів
• статистика відвідувачів
• популярні сторінки
• ключові слова пошукової системи (хоча з "не надано", це менше проблеми в ці дні)

І, щоб додати ще одну річ до всіх відповідей, я просто поговорю про затримку. Бо, схоже, тут ніхто про це не писав.

Мало затримка HTTP клієнт-сервер є критично важливою для створення швидких веб-сайтів, що швидко завантажуються.

Тільки TCP / IP має тристоронній рукостискання (для початкового налаштування з'єднання для звичайного HTTP через TCP потрібні 3 пакети). Коли використовується SSL / TLS, налаштування підключення є більш задіяною, тобто затримка для нових HTTPS-з'єднань неминуче перевищує HTTP простого тексту.

Проблема HTTP полягає в тому, що він не є безпечним. Тож якщо у вас є конфіденційні дані, вам потрібна певна форма захисту. Коли ви вводите щось у свій веб-браузер, починаючи з "https", ви просите браузер використовувати шар шифрування для захисту трафіку. Це забезпечує розумний захист від підслуховувачів, але проблема полягає в тому, що це буде повільніше. Оскільки ми хочемо зашифрувати наш трафік, буде проведено деяке обчислення, що додасть часу. Це означає, що якщо ви не спроектуєте свою систему правильно, ваш веб-сайт буде здаватися млявим для користувачів.

Прийти до висновку:

У мене великий веб-сайт, призначений лише для вмісту; немає входу або виходу, ніяких імен користувачів, жодної адреси електронної пошти, жодної захищеної області, нічого секретного на сайті, нада. Люди просто заходять на сайт і переходять зі сторінки на сторінку і переглядають вміст.

У такому випадку я взагалі не буду використовувати SSL. Я хотів би, щоб моя сторінка, коли ви натискаєте її, відкрилася за одну секунду. Це з досвіду користувачів. Ти робиш як хочеш, я просто не ставлю сертифікати на все, що я роблю. У цьому конкретному випадку я б взагалі не використовував це.

Окрім переваг, згаданих іншими, є одна причина, яка змусить вас перейти на SSL, якщо ви не переймаєтесь своїми відвідувачами, які використовують Chrome - нові версії Chrome (починаючи з кінця року, наскільки я пам’ятаю) відображатиметься попередження (яке відганяє користувачів від вашого сайту) за замовчуванням для всіх сайтів, які не використовують HTTPS.

// редагувати:

Ось посилання на дві більш детальні статті, хоча я, здається, не можу знайти ту, про яку я читав, коли вони планують офіційно представити цю функцію:

https://motherboard.vice.com/read/google-will-soon-shame-all-websites-that-are-unencrypted-chrome-https

http://www.pandasecurity.com/mediacenter/security/websites-that-arent-using-https/

Проста відповідь полягає в тому, що немає вагомих причин цього не робити . У минулому були аргументи щодо використання SSL лише там, де це абсолютно необхідно (наприклад, на сайтах електронної комерції, що збирають платіжні дані).

Це значною мірою стосувалося процедури встановлення сертифікатів SSL, вартості, додаткового навантаження на веб-сервер та обмежень у мережі - в той час, коли люди не мали широкосмугового зв'язку тощо. Жодна з цих причин насправді не застосовується у 2016 році.

З точки зору SEO, ми знаємо, що мета більшості пошукових систем - забезпечити найкращі результати для своїх користувачів, і це можна зробити, забезпечивши їм безпечне з'єднання з веб-сайтом, який вони переглядають. У цьому відношенні пошукові системи не хвилюються, чи є на сайті "чутливі" дані (або вони представлені, або зібрані); просто випадок, що якщо сайт обслуговується через HTTPS, будь-які потенційні ризики аутентифікації та шифрування значно зведені до мінімуму, тому сайт вважатиметься "кращим", ніж еквівалентний сайт без HTTPS.

По суті, це так просто і просто в реалізації, це просто вважається найкращою практикою в наш час. Як веб-розробник, я просто розглядаю можливість встановити SSL-сертифікат, а потім змусити всі запити через HTTPS (дуже просто використовувати .htaccess або еквівалент) як стандартну частину будь-якого сайту чи веб-додатків, які я будую.

Крім інших відповідей, браузери повинні (як у RFC 2119) надсилати User-Agentзаголовок. Він надає достатньо інформації про те, якою платформою користувач користується, якщо він надсилає фактичну User-Agent. Якщо Єва може підслухати запит, зроблений Алісою, а Аліса надішле фактичну User-Agent, Єва дізнається, яку платформу використовує Аліса, а Аліса не з'єднається з сервером Єви. З такими знаннями буде пробити в комп’ютер Аліси легше.

У вас є два варіанти захисту основного домену (mysite.com) та його піддоменів (play.mysite.com та test.mysite.com). SSL призначений не лише для електронної комерції, веб-сайтів для торговців платежами, де фінансові операції чи дані для входу діляться на веб-сайті. Це так само важливо для веб-сайту, що базується на вмісті. Зловмисники завжди шукають звичайний веб-сайт HTTP або лазівку на веб-сайті. SSL не тільки забезпечує безпеку, але і автентифікує ваш веб-сайт. Основна перевага наявності SSL на веб-сайті, що базується на вмісті, полягає в тому,

• Ви можете уникнути атаки, яка може перетворити вміст на веб-сайті.

• Крім того, ваш веб-сайт матиме справжність, яка повідомляє відвідувачів, що їх інформація буде захищена, якщо вони поділяться з веб-сайтом.

• Вони отримують впевненість у достовірності веб-сайту.

• Більше того, ваш веб-сайт буде заборонений від внесення шкідливих оголошень, експлуатувань, небажаних віджетів, заміни програмного забезпечення та шкоди для веб-сторінок, коли у вас буде SSL на вашому веб-сайті.

• Сертифікат SSL пропонує статичну печатку сайту, яку можна впевнено розмістити на будь-якій веб-сторінці, а клієнти можуть натиснути на печатку, щоб знати деталі встановленого сертифіката SSL.

Інші відповіді говорили про переваги HTTPS. Чи буде користувач змушений використовувати HTTPS? З двох причин:

• Якщо ви даєте користувачам можливість не використовувати HTTPS, вони, ймовірно, не стануть, тим більше, що більшість браузерів за замовчуванням до http: //, а не https: // при введенні домену в адресному рядку.
• Реалізуючи як захищену, так і незахищену версію, ви збільшуєте атакуючу поверхню з'єднання. Ви даєте зловмисникам можливість здійснити атаку з пониженням, навіть якщо ви думаєте, що використовуєте захищену версію.
• Якщо ви перенаправляєте кожен http: // URL на еквівалентний https: // one, це полегшує життя адміністратору сервера та пошуковим системам. Ніхто не повинен турбуватися про те, чи призначені http: // і https: // еквівалентні або призначені для вказівки на зовсім інші речі, перенаправляючи один на інший, всім зрозуміло, які URL-адреси призначені для використання.