Jaka jest korzyść z zmuszania witryny do ładowania przez SSL (HTTPS)?

Załóżmy, że mam dużą witrynę zawierającą tylko treści; bez logowania lub wylogowania, bez nazw użytkowników, bez adresów e-mail, bez bezpiecznego obszaru, bez tajemnic na stronie, nada. Ludzie po prostu przychodzą do witryny i przechodzą od strony do strony i sprawdzają zawartość.

Poza niewielkim wzrostem SEO w Google ( bardzo niewielkim, z tego, co przeczytałem), czy jest jakaś korzyść z zmuszania strony do ładowania za pośrednictwem HTTPS?

HTTPS zapewnia nie tylko poufność (której wątpisz w wartość, choć istnieją ku temu dobre powody), ale także autentyczność , która zawsze ma wartość. Bez niego złośliwy punkt dostępowy / router / ISP / itp. może przepisać dowolną część witryny przed wyświetleniem jej użytkownikowi. Może to obejmować:

• wstrzykiwanie reklam swoim konkurentom
• wstrzykiwanie reklam lub irytujących widżetów, które sprawiają, że Twoja witryna wygląda źle i szkodzi Twojej reputacji
• wstrzykiwanie exploitów w celu przeprowadzenia pobierania złośliwego oprogramowania na komputer odwiedzającego, który następnie (słusznie!) obwinia cię za to, co się dzieje
• zastępując pliki do pobrania z Twojej witryny plikami zawierającymi złośliwe oprogramowanie
• obniżenie jakości twoich zdjęć
• usuwając części witryny, których nie chcą, abyś widział, np. rzeczy, które konkurują z własnymi usługami lub przedstawiają je w złym świetle
• itp.

Brak ochrony użytkowników przed tymi rzeczami jest nieodpowiedzialny.

„nic tajnego na stronie”

... Według ciebie . Może być doskonały powód, dla którego ktoś chce bezpiecznego połączenia. (Częściowo) tworzy prywatność:

Mój administrator widzi, że przeglądam stronę z obrazkami w telefonie za pośrednictwem adresu URL, ale nie może stwierdzić, czy oglądam zdjęcia uroczych kotów czy ostre filmy porno. Powiedziałbym, że to cholernie dobra prywatność. „treść” i „treść” mogą mieć znaczenie na całym świecie. - Agent_L

Możesz myśleć, że to nieistotne, a może nie jest to teraz wielka sprawa, ale może być w innym momencie. Jestem głęboko przekonany, że nikt oprócz mnie i strony internetowej nie powinien dokładnie wiedzieć, co robię.

Buduje zaufanie. Posiadanie kłódki jest oznaką bezpieczeństwa i może oznaczać pewne umiejętności w zakresie strony internetowej, a tym samym twoich produktów.

To czyni cię mniejszym celem np. Ataków MitM. Zwiększone bezpieczeństwo.

Dzięki inicjatywom takim jak Let's Encrypt , które sprawiają, że jest to dużo łatwiejsze i darmowe , nie ma wielu wad. Moc procesora pobierana przez SSL jest obecnie znikoma.

Otrzymujesz obsługę HTTP / 2 , nowego standardu internetowego zaprojektowanego w celu znacznej poprawy szybkości ładowania strony .

Ponieważ twórcy przeglądarek wybrali obsługę HTTP / 2 tylko przez HTTPS, włączenie HTTPS (na serwerze obsługującym HTTP / 2) jest jedynym sposobem na uzyskanie tego szybkiego uaktualnienia.

(Części zaczerpnięte z mojej odpowiedzi na podobne pytanie).

HTTPS może osiągnąć dwie rzeczy:

• Uwierzytelnianie . Upewnij się, że użytkownik komunikuje się z prawdziwym właścicielem domeny.
• Szyfrowanie . Upewniając się, że tylko ten właściciel domeny i użytkownik mogą czytać ich komunikaty.

Prawdopodobnie wszyscy zgadzają się, że HTTPS powinien być obowiązkowy przy przesyłaniu tajemnic (takich jak hasła, dane bankowe itp.), Ale nawet jeśli twoja strona nie przetwarza takich tajemnic, istnieje kilka innych przypadków, w których i dlaczego użycie HTTPS może być korzystne.

Atakujący nie mogą manipulować przy żądanej treści.

Podczas korzystania z protokołu HTTP osoby podsłuchujące mogą manipulować treściami, które użytkownicy widzą w Twojej witrynie. Na przykład:

• Dołączanie złośliwego oprogramowania do oprogramowania, które oferujesz do pobrania (lub jeśli nie oferujesz żadnego pobierania oprogramowania, atakujący zaczynają to robić).
• Cenzurowanie niektórych treści. Zmieniam sposób wyrażania opinii.
• Wstrzykiwanie reklam.
• Zamiana danych konta darowizn na własne.

HTTPS może temu zapobiec.

Atakujący nie mogą odczytać żądanej treści.

Podczas korzystania z protokołu HTTP podsłuchujący mogą dowiedzieć się, do których stron / treści w hoście mają dostęp odwiedzający. Chociaż sama treść może być publiczna, wiedza, którą zużywa konkretna osoba, może być problematyczna:

• Otwiera wektor ataku dla inżynierii społecznej .
• Narusza to prywatność.
• Może to prowadzić do inwigilacji i karania (aż do uwięzienia, tortur, śmierci).

Zależy to oczywiście od charakteru twoich treści, ale to, co wydaje ci się nieszkodliwe, może być różnie interpretowane przez inne strony.

Lepiej bądź bezpieczny niż przykro. HTTPS może temu zapobiec.

Zapobiega atakom typu man in the middle, które sprawiają, że myślisz, że odwiedzasz witrynę, ale przedstawia stronę, która faktycznie pochodzi z innej strony i może próbować uzyskać od ciebie informacje. Ponieważ dane są szyfrowane, intruzowi utrudnia również manipulowanie stroną w trakcie jej wyświetlania.

Ponieważ potrzebujesz certyfikatu SSL, który potwierdzi, że jesteś właścicielem strony, przynajmniej potwierdzając, kim jesteś.

Firmy marketingowe, takie jak Hitwise, płacą dostawcom usług internetowych za zbieranie danych o Twojej witrynie, gdy nie korzystasz z SSL. Gromadzone są dane o Twojej witrynie, o których konkurenci mogą nie wiedzieć:

• dane demograficzne użytkowników
• statystyki odwiedzin
• popularne strony
• słowa kluczowe w wyszukiwarkach (chociaż przy „nie podano” jest to obecnie mniejszy problem)

I, aby dodać jeszcze jedną rzecz do wszystkich odpowiedzi, powiem tylko o opóźnieniu. Ponieważ wydaje się, że nikt tu o tym nie napisał.

Niskie opóźnienie HTTP między klientem a serwerem ma kluczowe znaczenie dla tworzenia szybko ładujących się, responsywnych stron internetowych.

Sam TCP / IP ma 3-kierunkowy uścisk dłoni (wstępna konfiguracja połączenia dla zwykłego HTTP przez TCP wymaga 3 pakietów). Gdy używany jest protokół SSL / TLS, konfiguracja połączenia jest bardziej zaangażowana, co oznacza, że ​​opóźnienie dla nowych połączeń HTTPS jest nieuchronnie wyższe niż zwykły tekst HTTP.

Problem z HTTP polega na tym, że nie jest bezpieczny. Więc jeśli masz wrażliwe dane, potrzebujesz jakiejś formy bezpieczeństwa. Kiedy wpiszesz coś w przeglądarce zaczynającej się od „https”, poprosisz swoją przeglądarkę o użycie warstwy szyfrowania do ochrony ruchu. Zapewnia to rozsądną ochronę przed podsłuchującymi, ale problem polega na tym, że będzie wolniejszy. Ponieważ chcemy zaszyfrować nasz ruch, konieczne będą pewne obliczenia, co wydłuży czas. Oznacza to, że jeśli nie zaprojektujesz poprawnie swojego systemu, witryna będzie dla użytkowników powolna.

Podsumowując:

Mam dużą witrynę z treścią; bez logowania lub wylogowania, bez nazw użytkowników, bez adresów e-mail, bez bezpiecznego obszaru, bez tajemnic na stronie, nada. Ludzie po prostu przychodzą do witryny i przechodzą od strony do strony i sprawdzają zawartość.

W takim przypadku w ogóle nie będę używać protokołu SSL. Chciałbym, aby moja strona po kliknięciu otworzyła się w ciągu jednej sekundy. To z doświadczenia użytkownika. Robisz, co chcesz, po prostu nie umieszczam certyfikatów na wszystkim, co robię. W tym konkretnym przypadku nie użyłbym go wcale.

Oprócz korzyści wspomnianych przez innych, istnieje jeden powód, dla którego przełączysz się na SSL, chyba że nie obchodzi cię odwiedzający, którzy korzystają z Chrome - nowe wersje Chrome (o ile pamiętam od końca roku) są wyświetla ostrzeżenie (które odwiezie użytkowników od Twojej witryny) domyślnie dla wszystkich witryn, które nie używają HTTPS.

//EDYTOWAĆ:

Oto linki do dwóch bardziej szczegółowych artykułów, choć nie mogę znaleźć tego, o którym czytałem, kiedy planują oficjalnie wprowadzić tę funkcję:

https://motherboard.vice.com/read/google-will-soon-shame-all-websites-that-are-unencrypted-chrome-https

http://www.pandasecurity.com/mediacenter/security/websites-that-arent-using-https/

Prosta odpowiedź jest taka, że nie ma dobrego powodu, aby tego nie robić . W przeszłości istniały argumenty o używaniu protokołu SSL tylko wtedy, gdy jest to absolutnie konieczne (np. Na stronach e-commerce zbierających szczegóły płatności).

Miały one głównie związek z procedurą instalacji certyfikatów SSL, kosztami, dodatkowym obciążeniem serwera WWW i ograniczeniami sieci - w czasach, gdy ludzie nie mieli dostępu szerokopasmowego itp. Żaden z tych powodów tak naprawdę nie ma zastosowania w 2016 r.

Jeśli chodzi o SEO, wiemy, że celem większości wyszukiwarek jest zapewnienie najlepszych wyników dla ich użytkowników, a można to zrobić, zapewniając im bezpieczne połączenie z witryną, którą przeglądają. Pod tym względem wyszukiwarki nie dbają o to, czy na stronie znajdują się „wrażliwe” dane (prezentowane lub gromadzone); to po prostu przypadek, gdy witryna jest obsługiwana przez HTTPS, wszelkie potencjalne ryzyko uwierzytelnienia i szyfrowania jest znacznie zminimalizowane, więc witryna byłaby uważana za „lepszą” niż odpowiednik witryny bez HTTPS.

Zasadniczo jest to tak proste i łatwe do wdrożenia, że ​​jest obecnie postrzegane jako najlepsza praktyka. Jako twórca stron internetowych, po prostu rozważam zainstalowanie certyfikatu SSL, a następnie wymuszenie wszystkich żądań przez HTTPS (bardzo łatwe przy użyciu .htaccess lub równoważnego), aby były standardową częścią każdej witryny lub aplikacji internetowej, którą buduję.

Oprócz innych odpowiedzi przeglądarki powinny (podobnie jak w RFC 2119) wysłać User-Agentnagłówek. Dostarcza wystarczających informacji o tym, jakiej platformy używa użytkownik, jeśli wysyła faktyczną User-Agent. Jeśli Ewa będzie mogła podsłuchać żądanie złożone przez Alicję, a Alice wyśle ​​rzeczywistą User-Agent, Ewa będzie wiedziała, jakiej platformy używa Alice bez nawiązania połączenia z serwerem Eve. Przy takiej wiedzy łatwiej będzie włamać się do komputera Alice.

Masz dwie opcje zabezpieczenia swojej głównej domeny (mysite.com) i jej subdomen (play.mysite.com i test.mysite.com). SSL dotyczy nie tylko e-commerce, witryn sprzedawców płatności, w których transakcje finansowe lub dane logowania są udostępniane w witrynie. Jest to równie ważne w przypadku witryny opartej na treści. Atakujący zawsze szukają zwykłej witryny HTTP lub luki w witrynie. SSL nie tylko zapewnia bezpieczeństwo, ale także uwierzytelnia twoją stronę. Główną zaletą posiadania protokołu SSL w witrynie opartej na treści jest to, że:

• Możesz uniknąć ataku typu man-in-middle, który może zmienić treść witryny.

• Poza tym twoja strona internetowa będzie autentyczna, która powiadomi odwiedzających, że ich informacje zostaną zabezpieczone, jeśli udostępnią ją stronie internetowej.

• Uzyskują pewność autentyczności witryny.

• Co więcej, Twoja witryna będzie wolna od zastrzyków złośliwych reklam, exploitów, niechcianych widżetów, wymiany oprogramowania i szkód na stronach internetowych, gdy tylko będziesz mieć SSL na swojej stronie.

• Certyfikat SSL oferuje statyczną pieczęć witryny, którą można umieścić na dowolnej stronie internetowej w celu zapewnienia bezpieczeństwa, a klienci mogą kliknąć pieczęć, aby poznać szczegóły zainstalowanego certyfikatu SSL.

Inne odpowiedzi mówiły o zaletach HTTPS. Czy użytkownik byłby zmuszony do korzystania z HTTPS? Z dwóch powodów:

• Jeśli dasz użytkownikom opcję nieużywania HTTPS, prawdopodobnie nie zrobią tego, zwłaszcza że większość przeglądarek domyślnie używa http: //, a nie https: // podczas wpisywania domeny w pasku adresu.
• Wdrażając zarówno wersję bezpieczną, jak i wersję niezabezpieczoną, zwiększasz powierzchnię ataku połączenia. Dajesz atakującym szansę przeprowadzenia ataku na obniżenie poziomu, nawet jeśli uważasz, że korzystasz z bezpiecznej wersji.
• Jeśli przekierujesz każdy http: // URL na równoważny https: // one, ułatwi to życie administratorowi serwera i wyszukiwarek. Nikt nie musi się martwić, czy http: // i https: // mają być równoważne, czy też mają wskazywać na zupełnie różne rzeczy, przekierowując się nawzajem, jest jasne dla wszystkich, jakie adresy URL mają być używane.