Gibt es einen Grund, HTTPS auf einer Website nicht durchzusetzen?

49

Eine Website, die ich häufig besuche, hat sich endgültig entschieden, TLS für ihre Server zu aktivieren, nur um sie nicht wie viele andere Websites zu beauftragen. Der Betreuer behauptet, dass TLS optional sein muss . Warum?

Auf meiner eigenen Website habe ich lange Zeit TLS- und HSTS-Mandate eingerichtet und die schwächeren Cipher Suites sind deaktiviert. Der Zugriff auf Klartext wird mit einem HTTP 301 auf die TLS-geschützte Version garantiert gesperrt. Beeinträchtigt dies meine Website negativ?

Maxthon Chan
quelle
12
Sie können befürchten, dass HSTS sie in Schwierigkeiten bringt, wenn ALLES schief geht (dh ihre kostenlose Zertifizierungsstelle stellt die Ausstellung von Zertifikaten ein oder wird aufgrund eines Problems aus dem Truststore des Browsers entfernt). Mit dem aktuellen TLS-Ökosystem erstellen Sie Abhängigkeiten zu den vertrauenswürdigen Zertifizierungsstellen / den Browseranbietern. Es ist derzeit schwer zu vermeiden und es lohnt sich, aber Sie können dies immer noch als Problem ansehen und HTTPS nicht als Lösung erzwingen, um für den Fall, dass etwas passiert, unabhängig zu bleiben.
Allo
jeder möchte die anforderung von tls für h2 erwähnen, die weit schneller ist als http1.1. Gut, dass du HSTS machst. Ich habe kürzlich meine Website für die HSTS-Vorladeliste gesendet. Hoffentlich kann ich nur Port 80 gemeinsam deaktivieren
Jacob Evans,
4
@gerrit Dieses Argument steht nicht vor billigen und kostenlosen Zertifizierungsstellen wie Let's Encrypt.
Maxthon Chan
1
Let's Encrypt funktioniert nicht mit jedem Host und ist auch nicht so einfach wie die Verwendung eines besseren Hosts. Ich verwende App Engine, die aus technischen Gründen (direkt) nicht unterstützt wird.
Carl Smith

Antworten:

8

Es gibt mehrere gute Gründe, TLS zu verwenden

(und nur wenige marginale Gründe, dies nicht zu tun).

  • Wenn die Site über eine Authentifizierung verfügt, verwenden Sie HTTP Expose zum Stehlen von Sitzungen und Kennwörtern.
  • Selbst auf statischen, lediglich informativen Sites stellt die Verwendung von TLS sicher, dass niemand die Daten manipuliert hat.

  • Seit Google I / O 2014 hat Google verschiedene Schritte unternommen, um alle Websites zur Verwendung von HTTPS zu ermutigen:

  • Der Mozilla-Sicherheitsblog hat außerdem angekündigt, nicht sicheres HTTP zu verwerfen, indem alle neuen Funktionen nur zum Sichern von Websites zur Verfügung gestellt werden und der Zugriff auf Browserfunktionen für nicht sichere Websites schrittweise eingestellt wird. Dies gilt insbesondere für Funktionen, die die Sicherheit und den Datenschutz der Benutzer gefährden .

Es gibt auch mehrere gute Gründe, TLS durchzusetzen

Wenn Sie bereits ein weit verbreitetes vertrauenswürdiges Zertifikat haben, warum nicht immer? Praktisch alle aktuellen Browser unterstützen TLS und haben Stammzertifikate installiert. Das einzige Kompatibilitätsproblem, das ich seit Jahren gesehen habe, waren Android-Geräte und fehlende Zwischenzertifizierungsstellen, da Android nur Stammzertifizierungsstellen direkt vertraut. Dies kann auf einfache Weise verhindert werden, indem der Server so konfiguriert wird, dass die Zertifikatskette zurück an die Stammzertifizierungsstelle gesendet wird.

Wenn Ihr Betreuer weiterhin HTTP-Verbindungen ohne direkte Verbindung zulassen möchte, um beispielsweise den 301 Moved PermanentlyZugriff über einige sehr alte Browser oder mobile Geräte sicherzustellen, kann der Browser nicht erkennen, dass Sie sogar HTTPS konfiguriert haben . Darüber hinaus sollten Sie HTTP Strict Transport Security (HSTS) nicht ohne Folgendes bereitstellen 301 Moved Permanently:

7.2.  HTTP Request Type

   If an HSTS Host receives a HTTP request message over a non-secure
   transport, it SHOULD send a HTTP response message containing a status
   code indicating a permanent redirect, such as status code 301
   (Section 10.3.2 of [RFC2616]), and a Location header field value
   containing either the HTTP request's original Effective Request URI
   (see Section 9 "Constructing an Effective Request URI") altered as
   necessary to have a URI scheme of "https", or a URI generated
   according to local policy with a URI scheme of "https").

Das Problem verschiedener Sites, die für beide Protokolle konfiguriert sind, wird von The Tor Project und der Electronic Frontier Foundation erkannt und von einer HTTPS Everywhere- Erweiterung mit mehreren Browsern behoben :

Viele Websites im Internet bieten eingeschränkte Unterstützung für die Verschlüsselung über HTTPS, erschweren jedoch die Verwendung. Beispielsweise können sie standardmäßig unverschlüsseltes HTTP verwenden oder verschlüsselte Seiten mit Links füllen, die auf die unverschlüsselte Site zurückgehen.

Gemischte Inhalte stellten auch ein großes Problem dar, da möglicherweise XSS-Angriffe auf HTTPS-Websites durch Ändern von JavaScript oder CSS, die über eine nicht sichere HTTP-Verbindung geladen wurden, vorgenommen wurden. Daher warnen heutzutage alle gängigen Browser Benutzer vor Seiten mit gemischtem Inhalt und lehnen es ab, diese automatisch zu laden. Dies macht es schwierig, eine Site ohne die 301Weiterleitungen auf HTTP zu verwalten: Sie müssen sicherstellen, dass jede HTTP-Seite nur HTTP-Contects (CSS, JS, Bilder usw.) und jede HTTPS-Seite nur HTTPS-Inhalte lädt. Das ist mit dem gleichen Inhalt auf beiden extrem schwer zu erreichen.

Esa Jokinen
quelle
If your maintainer still would like to allow HTTP connections without direct 301 Moved Permanently, say for ensuring access from some really old browsers or mobile devices, HSTS is the correct choise as it only enforces HTTPS when it is clear that the browser supports itIn diesem Fall wird der Client (auch HTTPS-kompatibel) jedoch nie über die HTTPS-Version informiert, wenn er zunächst HTTP lädt.
Cthulhu
Zu Ihrem letzten Absatz: HSTS-Header wird bei einer Nicht-HTTPS-Verbindung ignoriert.
Cthulhu
1
HSTS Host MUST NOT include the STS header field in HTTP responses conveyed over non-secure transport. If an HTTP response is received over insecure transport, the UA MUST ignore any present STS header field(s). tools.ietf.org/id/draft-ietf-websec-strict-transport-sec-14.txt
Cthulhu
Danke, dass du auf meinen falschen Hinweis hingewiesen hast, Cthulhu! Davon inspiriert habe ich meine Antwort erheblich verbessert. Bitte seien Sie willkommen, auch gegenüber den neuen Inhalten kritisch zu sein. :)
Esa Jokinen
62

Heutzutage ist TLS + HSTS ein Kennzeichen dafür, dass Ihre Website von Fachleuten verwaltet wird, denen vertraut werden kann, dass sie wissen, was sie tun. Dies ist ein sich abzeichnender Mindeststandard für Vertrauenswürdigkeit, wie Google bestätigt, dass Websites, die dies tun, ein positives Ranking erhalten.

Am anderen Ende ist maximale Kompatibilität. Es gibt immer noch ältere Kunden, insbesondere in Teilen der Welt, die nicht die USA, Europa oder China sind. Normales HTTP funktioniert immer (funktioniert aber nicht immer gut ; das ist eine andere Geschichte).

TLS + HSTS: Optimiert für Suchmaschinen-Ranking.
Plain HTTP: Optimiert für Kompatibilität

Kommt drauf an, was für dich wichtiger ist.

sysadmin1138
quelle
16
Vielleicht bin ich wählerisch, aber der erste Satz scheint ein bisschen zu langwierig: Eine Website mit https sagt nichts über die Professionalität oder die Vertrauenswürdigkeit der Verantwortlichen aus. Eine Site kann https sein und dennoch von Personen entwickelt / verwaltet werden, die Eingaben nicht bereinigen, wodurch die Site für SQL Injection oder XSS anfällig wird. oder es kann https sein und ungültig, nicht zugänglich oder nicht verwendbar sein.
Alvaro Montoro
34
Die Verwendung von HTTPS ist keine Garantie für Professionalität, aber das Fehlen von HTTPS ist mit Sicherheit das Gegenteil.
Esa Jokinen
8
Die Verwendung von TLS und HSTS ist ein Signal, das Teil eines viel größeren Arrays ist und das es wert ist, von der Site gelesen zu werden. Im Gegensatz zu anderen ist es trivial einfach auf Vorhandensein zu testen. Deshalb verwendet Google es als Proxy für den Rest.
sysadmin1138
3
@Braiam Stack Exchange migriert nur zu https und wird hsts ziemlich bald verwenden. HTTP ist immer noch verfügbar, nicht wegen der Kompatibilität, sondern weil sie langsam und vorsichtig sind und eine Migration technisch schwierig ist.
Captncraig
4
@esajohnson - Mangel an https zeigt nicht Unprofessionalität. Es zeigt, dass es kein "Bedürfnis" dafür gibt. Zum Beispiel ein CentOS-Spiegel.
Warren
30

Es gibt einen guten Grund für einfache Nur-Lese- Websites, HTTPS nicht zu verwenden.

  • Web-Caches können keine Bilder zwischenspeichern, die über HTTPS transportiert werden.
  • Einige Teile der Welt haben sehr langsame internationale Verbindungen, daher sind sie von den Caches abhängig.
  • Das Hosten von Bildern aus einer anderen Domain erfordert Fähigkeiten, die Sie von den Betreibern für kleine schreibgeschützte Websites nicht erwarten können .
Ian Ringrose
quelle
1
Schreibgeschützte Inhalte können auf CDN bereitgestellt werden, wenn Sie auf diese Länder ausgerichtet sind. Das CDN spiegelt die statischen Inhalte mit eigenen Mitteln und bedient sie dennoch über HTTPS. CDN ist relativ einfach zu finden und für kleine Websites nicht so teuer zu verwenden.
Maxthon Chan
8
@ MaxthonChan, versuchen Sie meiner Mutter zu erklären, was ein CDN ist.
Ian Ringrose
6
@MichaelHampton Wie kann ein Cache das Bild aus einem HTTPS-Stream lesen, ohne die Beschreibungsschlüssel zu haben? Und würden Sie einem ISP Ihre Schlüssel anvertrauen?
Ian Ringrose
8
Sie sollten klarer machen, um welche Caches es sich handelt.
Michael Hampton
2
@IanRingrose Wenn Ihre Mutter eine Website mit Informationen zum örtlichen Gottesdienst erstellt, ist es unwahrscheinlich, dass Caching-Verhalten bei internationalen Verbindungen zum Tragen kommt, es sei denn, es handelt sich um eine sehr beliebte Kirche.
Jason C
14

Der Betreuer behauptet, dass TLS optional sein muss. Warum?

Um die Antwort auf diese Frage wirklich zu wissen, müssen Sie sie stellen. Wir können jedoch einige Vermutungen anstellen.

In Unternehmensumgebungen ist es üblich, dass die IT-Abteilung eine Firewall installiert, die eingehenden und ausgehenden Datenverkehr auf Malware, verdächtige CnC-ähnliche Aktivitäten, für die Arbeit ungeeignete Inhalte (z. B. Pornografie) usw. überprüft. Dies wird viel schwieriger, wenn der Datenverkehr verschlüsselt wird. Es gibt im Wesentlichen drei mögliche Antworten:

  1. Geben Sie die Überwachung dieses Datenverkehrs auf.
  2. Installieren Sie eine Stammzertifizierungsstelle auf den Computern der Benutzer, damit Sie die MitM-Entschlüsselung und -Inspektion durchführen können.
  3. Wholesale block verschlüsselten Verkehr.

Für einen betroffenen Systemadministrator ist keine dieser Optionen besonders attraktiv. Es gibt sehr viele Bedrohungen, die ein Unternehmensnetzwerk angreifen, und es ist ihre Aufgabe, das Unternehmen vor ihnen zu schützen. Das Blockieren einer großen Anzahl von Websites erhöht jedoch den Ärger der Benutzer, und die Installation einer Stammzertifizierungsstelle kann sich etwas unangenehm anfühlen, da Datenschutz- und Sicherheitsaspekte für Benutzer berücksichtigt werden. Ich erinnere mich, dass ich einen Sysadmin-Petitions-Reddit gesehen habe (sorry, kann den Thread nicht finden), als sie HSTS zum ersten Mal einschalteten, weil er sich in genau dieser Situation befand und nicht alle Reddits blockieren wollte, nur weil er vom Unternehmen dazu gezwungen wurde um die pornografischen Subreddits zu blockieren.

Die Räder der Technologie drehen sich immer weiter und Sie werden viele finden, die argumentieren, dass diese Art von Schutz altmodisch ist und auslaufen sollte. Aber es gibt immer noch viele, die es praktizieren, und vielleicht sind es sie, mit denen sich Ihr mysteriöser Erhalter befasst.

Xiong Chiamiov
quelle
wie wäre es, ssl am frontend server / load balancer / similar zu beenden und den verkehr danach zu protokollieren?
Eis
1
@eis Dies setzt voraus, dass das Unternehmen jede Website kontrolliert, die Mitarbeiter möglicherweise besuchen, was unwahrscheinlich ist. In dem Beitrag geht es anscheinend nicht um TLS auf einer Intranet-Website.
Xiong Chiamiov
5

Alles hängt von Ihren Sicherheitsanforderungen, der Wahl des Benutzers und dem Risiko einer impliziten Herabstufung ab. Das Deaktivieren der Serverseite für alte Chiffren ist weitgehend erforderlich, da Browser im Namen des Nutzererlebnisses / der Benutzerfreundlichkeit problemlos zur Client-Seite für absolut schreckliche Chiffren durchdringen. Sicherzustellen, dass nichts von Ihnen, das von einem sicheren Kanal zum Benutzer abhängt, mit einer unsicheren Methode nicht erreicht werden kann, ist natürlich auch sehr vernünftig.

Mir nicht zu erlauben, ein explizites Downgrade auf unsicheres HTTP durchzuführen, wenn ich der Ansicht bin, dass Ihr Blogbeitrag darüber, warum Sie Python mehr mögen als Ruby (ohne dass Sie das sagen, nur ein allgemeines Beispiel), den Spooks oder der Öffentlichkeit nichts ausmacht Ich bin gerade ohne guten Grund in die Quere gekommen, unter der Annahme, dass HTTPS für mich trivial sein wird.

Es gibt heutzutage eingebettete Systeme, die nicht in der Lage sind, TLS direkt zu verwenden, oder solche, die auf alten Implementierungen basieren (ich finde es schrecklich schlecht, dass dies so ist, aber als Power-User von [eingebettet einfügen] Gerät hier], kann ich manchmal nicht ändern).

Hier ist ein lustiges Experiment: Versuchen Sie, eine aktuelle Version von LibreSSL von der Upstream-OpenBSD-Site über HTTPS mit einer ausreichend alten TLS / SSL-Implementierung herunterzuladen. Das wirst du nicht können. Ich habe es neulich auf einem Gerät mit einem älteren OpenSSL-Build aus dem Jahr 2012 versucht, weil ich dieses eingebettete System auf sicherere, neue Quellen aktualisieren wollte - ich habe nicht den Luxus eines vorgefertigten Pakets. Die Fehlermeldungen beim Versuch waren nicht genau intuitiv, aber ich nehme an, dass dies daran lag, dass mein älteres OpenSSL nicht das richtige Material unterstützte.

Dies ist ein Beispiel, bei dem die Bewegung, die das einzige HTTPS bietet, die Menschen tatsächlich schädigen kann: Wenn Sie nicht den Luxus der neuesten vorgefertigten Pakete haben und das Problem selbst beheben möchten, indem Sie aus dem Quellcode erstellen, sind Sie ausgeschlossen. Zum Glück können Sie im Fall LibreSSL auf die explizite Anforderung von HTTP zurückgreifen. Dies wird Sie sicher nicht davor bewahren, dass ein Angreifer Ihren Datenverkehr bereits umschreibt, Quellpakete durch kompromittierte Versionen ersetzt und alle Prüfsummen in HTTP-Körpern überschreibt, die die Pakete beschreiben, die auf den von Ihnen besuchten Webseiten zum Herunterladen verfügbar sind häufiger Fall.

Die meisten von uns sind nicht ein einziger ungesicherter Download, der nicht im Besitz einer APT ist (Advanced Persistent Thread: Sicherheitssprache für nationale Geheimdienste und andere äußerst gut ausgestattete Cyber-Bedrohungen). Manchmal möchte ich nur wgeteine einfache Textdokumentation oder ein kleines Programm, dessen Quelle ich schnell überprüfen kann (z. B. meine eigenen kleinen Dienstprogramme / Skripte auf GitHub), auf eine Box, die die neuesten Chiffresuiten nicht unterstützt.

Persönlich würde ich Folgendes fragen: Ist Ihr Inhalt so beschaffen, dass eine Person legitimerweise entscheiden kann, ob ich in Ordnung bin, öffentlich zu sein? Besteht eine plausible Gefahr für nichttechnische Personen, die versehentlich auf HTTP für Ihre Inhalte heruntergestuft haben? Wägen Sie Ihre Sicherheitsanforderungen, die Anforderungen an den Schutz der Privatsphäre für Ihre Benutzer und das Risiko impliziter Herabstufungen gegen die Möglichkeit ab, dass Benutzer, die die Risiken verstehen, von Fall zu Fall eine fundierte Entscheidung zu treffen, ungesichert bleiben. Es ist absolut legitim zu behaupten, dass es für Ihre Website keinen guten Grund gibt, HTTPS nicht durchzusetzen - aber ich denke, es gibt immer noch gute Anwendungsfälle für einfaches HTTP.

mtraceur
quelle
1
"Versuchen Sie, eine aktuelle Version von LibreSSL von der Upstream-OpenBSD-Site über HTTPS mit einer ausreichend alten TLS / SSL-Implementierung herunterzuladen." HTTP / 1.0 ohne Unterstützung für den Host:Header. Oder surfen Sie auf modernen Websites mit einem Webbrowser, der nur das Javascript von 2001 unterstützt. Irgendwann müssen wir als Community weitermachen, was leider für einige Probleme mit sich bringt. Dann stellt sich die Frage: Ist der Mehrwert den Bruch wert?
ein Lebenslauf
@ MichaelKjörling Das sind auch Probleme, unterschiedlicher Schwere. Ich werde der Liste das Erstellen der neuesten Compilerversionen hinzufügen. Einige sind vertretbarer als andere. Ich bin mir nicht sicher , ob Sie Meinungsverschiedenheiten sind behauptet oder warum , wenn Sie: im zweiten Satz von meinem Beitrag, ich bin einverstanden , dass es ist gerechtfertigt alt Chiffren auf eine HTTPS - Verbindung zu verhindern, da es die meisten Benutzer von Herabstufung Angriffen schützt sie‘ d ansonsten keine aussagekräftige Einsicht oder Abwehr haben. (Ich denke nicht, dass die meisten modernen Websites, die sich nicht angemessen verschlechtern, aus der Ferne als gerechtfertigt gelten, aber das ist ein
bisschen nebensächlich
@ MichaelKjörling Um es zu verdeutlichen, wurde dies angesprochen, weil es ein Beispiel dafür ist, dass die Bereitstellung von einfachem HTTP für den Benutzer einen eindeutigen Vorteil hat, der der Kernpunkt der zu beantwortenden Frage war. Es war in keiner Weise ein negatives Licht auf die OpenBSD / LibreSSL-Projekte zu werfen, für die ich ziemlich großen Respekt habe. Ich dachte, der zweite Satz des ersten Absatzes hätte eine solche negative Interpretation ausgeschlossen. Wenn Sie der Meinung sind, dass dies unklar ist oder besser formuliert werden könnte, können Sie meine Antwort gerne bearbeiten oder Verbesserungen vorschlagen.
mtraceur
3

Es wird hier viel darüber diskutiert, warum tls gut ist - aber das wurde nie so gefragt wie im ursprünglichen Beitrag.

Maxthon stellte 2 Fragen:

1) Warum hat sich eine zufällige, nicht benannte Site entschieden, sowohl die http- als auch die https-Präsenz beizubehalten?

2) Hat Maxthon einen negativen Einfluss darauf, dass nur 301 Antworten auf http-Anfragen gesendet werden?

In Bezug auf die erste Frage wissen wir nicht, warum sich die Anbieter dafür entschieden haben, sowohl http- als auch https-Websites beizubehalten. Es kann viele Gründe geben. Neben den Hinweisen zu Kompatibilität, verteiltem Caching und Hinweisen zur geopolitischen Erreichbarkeit wird auch die Integration von Inhalten und die Vermeidung hässlicher Browsermeldungen zu unsicheren Inhalten berücksichtigt. Wie Alvaro betonte, ist TLS in Bezug auf die Sicherheit nur die Spitze des Eisbergs.

Die zweite Frage ist jedoch beantwortbar. Das Offenlegen eines Teils Ihrer Website über http, wenn für den sicheren Betrieb tatsächlich https erforderlich ist, bietet einen ausnutzbaren Vektor für Angriffe. Es ist jedoch sinnvoll, dies beizubehalten, um festzustellen, wo der Datenverkehr fälschlicherweise an Port 80 auf Ihrer Site geleitet wird, und um die Ursache zu beheben. Das heißt, es gibt sowohl negative Auswirkungen als auch die Möglichkeit positiver Auswirkungen. Das Nettoergebnis hängt davon ab, ob Sie Ihre Arbeit als Administrator erledigen.

Laut Sysadmin1138 wirkt sich https auf das SEO-Ranking aus. Während Google angegeben hat, dass es Rangfolgen auswirkt, legen die einzigen zuverlässigen Studien, die ich gesehen habe, nahe, dass der Unterschied gering ist. Dies wird nicht von Menschen geholfen , die es besser wissen sollten , dass behauptet, da bestplatzierten Seiten sind eher eine https - Präsenz hat, eine https Präsenz daher Rankings verbessert.

symcbean
quelle
1

In der Vergangenheit musste ich HTTP anstelle von HTTPS verwenden, weil ich <embed>Seiten von einem anderen Ort haben wollte, die selbst über HTTP bereitgestellt wurden, und sie funktionieren ansonsten nicht.

Algy Taylor
quelle
Sie können Ihren Server verwenden, um den Proxy einer SSL-Version umzukehren.
Maxthon Chan
1

Dies ist kein guter Grund, da Sie schlechte / defekte / unsichere Clients haben. Wenn jedoch automatisierte Prozesse über die vorhandenen http://URLs auf Ressourcen zugreifen , unterstützen einige von ihnen möglicherweise nicht einmal https (z. B. busybox wget, was nicht der Fall ist) Sie haben keine interne TLS-Unterstützung und haben diese erst in jüngerer Zeit über einen untergeordneten openssl-Prozess hinzugefügt. Sie würden dann unterbrochen, wenn sie eine Weiterleitung zu einer https-URL erhalten würden, der sie nicht folgen können.

Ich wäre versucht, mit dieser Möglichkeit umzugehen, indem ich die Umleitungsregel schreibe, um zu verhindern, dass unbekannte (oder bereits bekannte) User-Agent-Zeichenfolgen umgeleitet werden, und ihnen den Zugriff auf den Inhalt über http zu ermöglichen, wenn sie möchten, sodass alle tatsächlichen Browser davon profitieren können erzwungene https / hsts.

R ..
quelle
1
Erinnern Sie mich daran, wie viele Jahrzehnte zuvor ein gut gewartetes Tool (z. B. wget) HTTPS nicht unterstützt hat?
Oleg V. Volkov
@ OlegV.Volkov: Ich glaube, du hast das Wort busybox in meiner Antwort verpasst.
R ..
Ich habe es ausprobiert - nun, ich verstehe. Ich verstehe nicht wirklich, warum ich dann nicht einfach das verdammte Ding bauen und dann keine Build-Tools paketieren kann, aber was auch immer. Wenn ich zurückdenke, erinnere ich mich auch an einige Fälle, in denen die Leute auf abgespeckte oder veraltete Tools beschränkt waren und es gut wäre, einfaches HTTP zu haben. Könnten Sie bitte Großbuchstaben korrigieren, damit ich auch nach der Bearbeitung wieder abstimmen kann?
Oleg V. Volkov
1

Es gibt nur wenige gute Gründe, auf einer Website HTTP anstelle von HTTPS zu verwenden. Wenn Ihre Website Transaktionen jeglicher Art abwickelt oder sensible oder persönliche Daten speichert, müssen Sie unbedingt HTTPS verwenden, wenn Sie möchten, dass diese Daten sicher sind. Der einzige vernünftige Grund, warum ich HTTPS nicht erzwingen würde, ist, wenn Ihre Website auf Caching angewiesen ist, da HTTPS nicht mit Caching funktioniert. Es lohnt sich jedoch oft, ein wenig Leistung zu opfern, um die Sicherheit Ihrer Website zu gewährleisten. Es ist auch möglich, dass Ihre Kunden HTTPS nicht unterstützen, dies sollte jedoch 2017 der Fall sein.

Ken
quelle