В чем преимущество принудительной загрузки сайта по протоколу SSL (HTTPS)?

Допустим, у меня большой сайт только для контента; нет входа или выхода, нет имен пользователей, нет адресов электронной почты, нет защищенной области, ничего секретного на сайте, нада. Люди просто заходят на сайт и переходят от страницы к странице и смотрят контент.

Помимо небольшого увеличения в SEO от Google ( очень незначительного, из того, что я прочитал), есть ли какая-то польза от загрузки сайта через HTTPS?

HTTPS не только обеспечивает секретность (в которой вы сомневаетесь в ценности, хотя для этого все же есть веские причины), но и подлинность , которая всегда имеет ценность. Без него вредоносная точка доступа / роутер / провайдер / тд. может переписать любую часть вашего сайта, прежде чем показывать ее пользователю. Это может включать в себя:

• внедрение рекламы для ваших конкурентов
• вставлять рекламу или раздражающие виджеты, которые портят ваш сайт и наносят вред вашей репутации
• Внедрение эксплойтов для загрузки вредоносных программ на компьютер посетителя, который затем (справедливо!) обвиняет вас в этом.
• замена загрузок программного обеспечения с вашего сайта на те, которые содержат вредоносное ПО
• снижение качества ваших изображений
• удаление частей вашего сайта, которые они не хотят, чтобы вы видели, например, вещи, которые конкурируют с их собственными услугами или изображают их в плохом свете
• и т.п.

Неспособность защитить ваших пользователей от этих вещей безответственна.

"ничего секретного на сайте"

... По вашему мнению . Может быть прекрасная причина, по которой кому-то нужно безопасное соединение. Это (частично) создает конфиденциальность:

Мой администратор может видеть , что я просматривающий некоторые изображения сайта на моем телефоне через URL, но он не может сказать , если я смотрю фото симпатичных кошек или хардкор порно. Я бы сказал, что это чертовски хорошая конфиденциальность. «контент» и «контент» могут изменить мир к лучшему. - Agent_L

Вы можете подумать, что это незначительно, или, может быть, это не имеет большого значения сейчас, но может быть в другой момент времени. Я твердо верю, что никто кроме меня и веб-сайта не должен точно знать, что я делаю.

Это создает доверие. Наличие замка является признаком безопасности и может свидетельствовать об определенной степени мастерства в отношении веб-сайта и, следовательно, ваших продуктов.

Это делает вас меньшей целью, например, для атак MitM. Безопасность увеличивается.

С такими инициативами, как Let's Encrypt , которые делают это намного проще и свободнее , недостатков не так много. Мощность процессора, потребляемая SSL, в наши дни ничтожна.

Вы получаете поддержку HTTP / 2 , новый веб-стандарт, призванный значительно повысить скорость загрузки веб-сайтов .

Поскольку производители браузеров решили поддерживать HTTP / 2 только через HTTPS, включение HTTPS (на сервере, поддерживающем HTTP / 2) - единственный способ получить это быстрое обновление.

(Детали взяты из моего ответа на аналогичный вопрос.)

HTTPS может достичь двух вещей:

• Проверка подлинности . Убедиться, что посетитель общается с реальным владельцем домена.
• Шифрование . Убедиться, что только этот владелец домена и посетитель могут прочитать их сообщение.

Вероятно, все согласны с тем, что HTTPS должен быть обязательным при передаче секретов (например, паролей, банковских данных и т. Д.), Но даже если ваш сайт не обрабатывает такие секреты, есть несколько других случаев, когда и почему использование HTTPS может быть полезным.

Злоумышленники не могут подделать запрошенный контент.

При использовании HTTP перехватчики могут манипулировать контентом, который посетители видят на вашем сайте. Например:

• Включение вредоносного программного обеспечения в программное обеспечение, которое вы предлагаете для загрузки (или, если вы не предлагаете загрузку программного обеспечения, злоумышленники начинают это делать).
• Цензура некоторых ваших материалов. Изменение вашего выражения мнения.
• Инъекционная реклама.
• Замена данных вашей учетной записи пожертвования своими собственными.

HTTPS может предотвратить это.

Злоумышленники не могут прочитать запрошенный контент.

Используя HTTP, перехватчики могут узнать, какие страницы / контент на вашем хосте посещают ваши посетители. Хотя сам контент может быть общедоступным, знание того, что конкретный человек потребляет его, может быть проблематичным:

• Это открывает вектор атаки для социальной инженерии .
• Это нарушает конфиденциальность.
• Это может привести к слежке и наказанию (вплоть до тюремного заключения, пыток, смерти).

Это, конечно, зависит от характера вашего контента, но то, что кажется вам безвредным, может быть истолковано другими сторонами иначе.

Лучше быть в безопасности, чем потом сожалеть. HTTPS может предотвратить это.

Это предотвращает атаки «посредника», которые заставляют вас думать, что вы посещаете свой сайт, но представляют страницу, которая фактически принадлежит другому и может попытаться получить информацию от вас. Поскольку данные зашифрованы, злоумышленнику также становится сложнее манипулировать страницей в том виде, в каком вы ее видите.

Поскольку вам нужен сертификат SSL, который подтверждает, что вы являетесь владельцем сайта как минимум, давая хотя бы некоторую проверку того, кто вы есть.

Маркетинговые фирмы, такие как Hitwise, платят интернет-провайдерам за сбор данных о вашем сайте, когда вы не используете SSL. Собираются данные о вашем сайте, о которых ваши конкуренты могут не знать:

• демография пользователя
• статистика посещений
• популярные страницы
• ключевые слова поисковой системы (хотя с "не предоставлено" это менее важно в наши дни)

И, чтобы добавить еще одну вещь ко всем ответам, я просто расскажу о задержке. Потому что, похоже, никто не писал здесь об этом.

Низкая латентность HTTP между клиентом и сервером имеет решающее значение для создания быстро загружаемых, быстро реагирующих веб-сайтов.

Сам по себе TCP / IP имеет трехстороннее рукопожатие (для начальной настройки соединения для простого HTTP через TCP требуется 3 пакета). Когда используется SSL / TLS, настройка соединения более сложна, а это означает, что задержка для новых HTTPS-соединений неизбежно выше, чем для обычного HTTP.

Проблема с HTTP заключается в том, что это небезопасно. Поэтому, если у вас есть конфиденциальные данные, вам нужна какая-то форма безопасности. Когда вы вводите что-то в свой веб-браузер, начиная с «https», вы просите свой браузер использовать уровень шифрования для защиты трафика. Это обеспечивает разумную защиту от подслушивающих, но проблема в том, что это будет медленнее. Поскольку мы хотим зашифровать наш трафик, потребуются некоторые вычисления, которые увеличивают время. Это означает, что если вы не спроектируете свою систему правильно, ваш сайт будет выглядеть медленным для пользователей.

Заключить:

У меня большой сайт только для контента; нет входа или выхода, нет имен пользователей, нет адресов электронной почты, нет защищенной области, ничего секретного на сайте, нада. Люди просто заходят на сайт и переходят от страницы к странице и смотрят контент.

Если это так, я вообще не буду использовать SSL. Я хотел бы, чтобы при нажатии на мою страницу она открывалась за одну секунду. Это из опыта пользователя. Вы делаете, как хотите, я просто не ставлю сертификаты на все, что я делаю. В этом конкретном случае я бы не стал его использовать.

Помимо преимуществ, упомянутых другими, есть одна причина, которая заставит вас перейти на SSL, если вы не заботитесь о своих посетителях, которые используют Chrome - новые версии Chrome (начиная с конца года, насколько я помню) для всех сайтов, которые не используют HTTPS, по умолчанию будет отображаться предупреждение (которое будет отталкивать пользователей от вашего сайта).

//РЕДАКТИРОВАТЬ:

Вот ссылки на две более подробные статьи, хотя я не могу найти ту, о которой читал, когда они планируют официально представить эту функцию:

https://motherboard.vice.com/read/google-will-soon-shame-all-websites-that-are-unencrypted-chrome-https

http://www.pandasecurity.com/mediacenter/security/websites-that-arent-using-https/

Ответ прост : нет веской причины не делать этого . В прошлом были споры об использовании SSL только там, где это абсолютно необходимо (например, на сайтах электронной коммерции, собирающих платежные реквизиты).

В основном это было связано с процедурой установки сертификатов SSL, стоимостью, дополнительной нагрузкой на веб-сервер и ограничениями сети - в то время, когда у людей не было широкополосного доступа и т. Д. Ни одна из этих причин не применима в 2016 году.

Что касается SEO, мы знаем, что целью большинства поисковых систем является предоставление наилучших результатов для своих пользователей, и это можно сделать, предоставив им безопасное соединение с просматриваемым сайтом. В этом отношении поисковым системам все равно, есть ли на сайте «конфиденциальные» данные (либо представленные, либо собранные); Это просто тот случай, когда сайт обслуживается по HTTPS, любые потенциальные риски аутентификации и шифрования значительно минимизируются, поэтому сайт будет считаться «лучше», чем аналогичный сайт без HTTPS.

По сути, это настолько просто и понятно для реализации, что сегодня это просто лучшая практика. Как веб-разработчик, я просто рассматриваю установку SSL-сертификата, а затем принудительное выполнение всех запросов по HTTPS (очень просто с помощью .htaccess или его эквивалента) в качестве стандартной части любого сайта или веб-приложения, которое я создаю.

В дополнение к другим ответам браузеры должны (как в RFC 2119) отправлять User-Agentзаголовок. Он предоставляет достаточно информации о том, какую платформу использует пользователь, если он отправляет реальную User-Agent. Если Ева сможет подслушать запрос, сделанный Алисой, и Алиса отправит фактический User-Agent, то Ева будет знать, какую платформу Алиса использует, без того, чтобы Алиса не подключилась к серверу Евы. С таким знанием будет легче взломать компьютер Алисы.

У вас есть два варианта защиты основного домена (mysite.com) и его поддоменов (play.mysite.com и test.mysite.com). SSL предназначен не только для электронной коммерции, сайтов продавцов платежей, где финансовые транзакции или учетные данные для входа публикуются на веб-сайте. Это так же важно для контент-сайта. Злоумышленники всегда ищут простой HTTP-сайт или лазейку на веб-сайте. SSL не только обеспечивает безопасность, но и аутентифицирует ваш сайт. Основное преимущество наличия SSL на контентном веб-сайте заключается в том, что

• Вы можете избежать атаки «человек посередине», которая может изменить содержание сайта.

• Кроме того, ваш веб-сайт будет иметь подлинность, которая уведомляет посетителей о том, что их информация будет защищена, если они предоставят доступ к веб-сайту.

• Они получают гарантию подлинности сайта.

• Кроме того, ваш веб-сайт будет свободен от внедрения вредоносной рекламы, эксплойтов, нежелательных виджетов, замены программного обеспечения и вреда веб-страниц, если у вас есть SSL на вашем веб-сайте.

• SSL-сертификат предлагает статическую печать сайта, которая может быть размещена на любой веб-странице для гарантии, и клиенты могут нажать на печать, чтобы узнать подробности установленного SSL-сертификата.

Другие ответы говорили о преимуществах HTTPS. Будет ли пользователь вынужден использовать HTTPS? По двум причинам:

• Если вы дадите пользователям возможность не использовать HTTPS, они, вероятно, не будут, тем более что большинство браузеров по умолчанию вводят http: //, а не https: // при вводе домена в адресной строке.
• Реализуя как защищенную, так и небезопасную версию, вы увеличиваете поверхность атаки соединения. Вы даете злоумышленникам возможность выполнить атаку с понижением рейтинга, даже если вы думаете, что используете безопасную версию.
• Если вы перенаправите каждый http: // URL на эквивалентный https: // one, это облегчит жизнь администратору сервера и поисковым системам. Никому не нужно беспокоиться о том, что http: // и https: // должны быть эквивалентными или указывать на совершенно разные вещи. Перенаправляя друг на друга, всем становится ясно, какие URL предназначены для использования.