Was ist der Vorteil, wenn eine Site gezwungen wird, über SSL (HTTPS) zu laden?

55

Nehmen wir an, ich habe eine große Nur-Inhalt-Site. Kein Anmelden oder Abmelden, keine Benutzernamen, keine E-Mail-Adressen, kein sicherer Bereich, nichts Geheimnisvolles auf der Site, nada. Die Leute kommen einfach auf die Website und gehen von Seite zu Seite und schauen sich den Inhalt an.

Abgesehen von einer geringfügigen Beeinträchtigung der Suchmaschinenoptimierung durch Google ( sehr geringfügig, wie ich gelesen habe), hat es einen Vorteil, die Website zum Laden über HTTPS zu zwingen?

Eric
quelle
1
Ich glaube nicht, dass dies ein Duplikat von Force Using SSL on Site ist. . Obwohl einige Antworten möglicherweise ähnlich lauten, werden Sie bei dieser Frage um Rat gefragt, ob SSL verwendet werden soll, obwohl dies nicht der Fall ist. Wenn überhaupt, sollte die andere Frage als meinungsbasiert geschlossen werden.
Stephen Ostermiller
4
Lassen Sie uns dies umdrehen: Was ist der Vorteil, wenn Sie SSL NICHT verwenden? Ich kenne keine. Ach ja, die Umsetzung wäre einmalig und würde (vergleichsweise zu allem anderen) keine Zeit in Anspruch nehmen. Also, wenn ein Ansatz keine Nachteile und einige Nachteile hat, der andere keine Nachteile und (Ihrer Meinung nach) keine Nachteile hat, warum dann bei letzteren bleiben?
VLAZ
3
@ Vld - Leistung. Heutzutage versuchen wir häufig, die anfänglichen Ladezeiten der Site auf Leistungswerte von weniger als einer Sekunde mit einem Ziel von 1/2 Sekunde zu optimieren. Bei einer etwas langsamen Internetverbindung (Paketlatenz um 100 ms) kann der SSL-Handshake leicht 300 ms dauern, was Sie möglicherweise über ein Leistungsziel hinausbringen kann. Für Mobilfunknutzer ist es noch schlimmer: Mobilfunknetze haben längere Paketlatenzen, und die Verarbeitungszeit für die Zertifizierungsüberprüfung kann auf einem langsameren Telefon leicht einige hundert ms betragen.
Jules
6
Mobilfunkanbieter manipulieren immer den unverschlüsselten HTTP-Datenverkehr, egal ob es sich um Bild- (Über-) Komprimierung handelt, bösartiges Javascript oder aggressivere Header zur Cachesteuerung. HTTPS wird all diesen Unsinn verhindern.
André Borie
2
@ Josef Nicht wahr. HTTP / 2 funktioniert genauso gut über unverschlüsselte Verbindungen. Das kann kein Browser, aber das ist eine Browsereinschränkung, nicht HTTP / 2. Zu sagen, dass "HTTP / 2 nur über TLS funktioniert", ist wie zu sagen, dass "Technologie X nicht funktioniert, weil Internet Explorer es nicht implementiert". Schau, wohin es uns geführt hat.
Agent_L

Antworten:

84

HTTPS bietet nicht nur Geheimhaltung (von der Sie den Wert bezweifeln, obwohl es noch gute Gründe dafür gibt), sondern auch Authentizität , die immer von Wert ist. Ohne diesen kann ein böswilliger Zugangspunkt / Router / ISP / etc. Sie können jeden Teil Ihrer Site neu schreiben, bevor Sie sie dem Benutzer anzeigen. Dies könnte Folgendes umfassen:

  • Injizieren von Anzeigen für Ihre Mitbewerber
  • Anzeigen oder ärgerliche Widgets einfügen, die Ihre Website schlecht aussehen lassen und Ihrem Ruf schaden
  • Injizieren von Exploits, um Drive-by-Downloads von Malware auf den Computer des Besuchers durchzuführen. Dieser macht Sie dann (zu Recht!) dafür verantwortlich
  • Ersetzen von Software-Downloads von Ihrer Website durch solche, die Malware enthalten
  • Verringern Sie die Qualität Ihrer Bilder
  • Entfernen von Teilen Ihrer Website, die Sie nicht sehen sollen, z. B. Dinge, die mit ihren eigenen Diensten konkurrieren, oder die Sie in einem schlechten Licht darstellen
  • usw.

Das Versäumnis, Ihre Benutzer vor diesen Dingen zu schützen, ist unverantwortlich.

R ..
quelle
27
@ Mike Nicht wirklich. Hierfür gibt es eine Menge Standard-Software, die Dekomprimierung und Rekomprimierung problemlos durchführt.
Ceejayoz
3
@ Mike Nicht wirklich. Ein vollständiger Umschreibungs-Proxy kann den gesamten Datenverkehr entschlüsseln und alle neuen Inhalte neu einspeisen.
Nayuki
10
Zu Ihrer Information: Die meisten, wenn nicht alle meiner Beispiele wurden tatsächlich in freier Wildbahn gesehen.
R ..
2
@ DavidMulder Ihr erster Kommentar sagte " De Centralization [...] keine gute Sache"
jiggunjer
3
Können wir bitte die Kommentare zu dieser Antwort nicht in eine nicht themenbezogene, bikerfreundliche Parole über nicht verwandte Themen verwandeln?
R ..
25

"nichts geheimes auf der Website"

... bis nach Ihnen . Es könnte einen guten Grund dafür geben, dass jemand eine sichere Verbindung wünscht. Es schafft (teilweise) Privatsphäre:

Mein Administrator kann sehen, dass ich über eine URL auf einer Bilderseite auf meinem Handy surfe, aber er kann nicht sagen, ob ich Bilder von süßen Katzen oder Hardcore-Pornos ansehe. Ich würde sagen, das ist verdammt gute Privatsphäre. "a content" und "the content" können den Unterschied in der Welt ausmachen. - Agent_L

Man könnte meinen, es sei unbedeutend, oder vielleicht ist es jetzt keine große Sache, aber es könnte sich um einen anderen Zeitpunkt handeln. Ich bin fest davon überzeugt, dass niemand außer mir und der Website genau wissen sollte, was ich tue.

Es schafft Vertrauen. Das Vorhängeschloss ist ein Zeichen der Sicherheit und kann ein gewisses Maß an Kompetenz in Bezug auf die Website und damit auf Ihre Produkte bedeuten.

Es macht Sie weniger zum Ziel für zB MitM-Angriffe. Sicherheit steigt.

Mit Initiativen wie Let's Encrypt , die es viel einfacher und kostenloser machen , gibt es nicht viele Nachteile. Die von SSL beanspruchte CPU-Leistung ist heutzutage vernachlässigbar.

Martijn
quelle
11
Leider hindert SSL weder die Unternehmens-IT noch Ihren ISP oder die Leute im öffentlichen Café wifi daran, zu wissen, welche Websites Sie besuchen. Die DNS-Lookups werden weiterhin im Klartext durchgeführt . Obwohl sie weder den Inhalt noch die genaue URL sehen können, noch dass Sie einen Webbrowser verwenden, können sie feststellen , dass Sie auf penisland.com zugreifen (das ist natürlich eine Website für Pen-Enthusiasten, aber könnte falsch ausgelegt werden). Die Verwendung eines VPN- oder SOCKS5-Proxys schützt Ihre DNS-Abfragen.
Schwern
3
@Martijn: Mit Server Name Indication (von allen modernen Browsern unterstützt) wird der Hostname der Website selbst als Teil des HTTPS-Handshakes im Klartext gesendet. Es geht nicht nur um Sidechannel-Angriffe und kann nicht mit zB DNSsec gemildert werden.
Kevin
3
@Schwern Ich habe das Argument, dass HTTPS den Hostnamen nicht schützt, nie verstanden, da die DNS-Suche und die SNI und das Serverzertifikat unmissverständlich sind. Das stimmt natürlich, aber Klartext-HTTP ist in dieser Hinsicht keineswegs besser!
einen Lebenslauf vom
5
@Schwern Mein Administrator kann sehen, dass ich auf meinem Handy im Tumblr surfe, aber er kann nicht sagen, ob ich Bilder von süßen Katzen oder Hardcore-Pornos schaue. Ich würde sagen, das ist verdammt gute Privatsphäre. "a content" und "the content" können den Unterschied in der Welt ausmachen.
Agent_L
2
@Agent_L Nein, auch das ist kein guter Rat. Wenn Sie zu https://penisland.tumblr.com/Ihrem Browser gehen, wird eine DNS-Anfrage für penisland.tumblr.comdie, sofern Sie Ihre DNS-Abfragen geschützt haben, der Netzwerkadministrator sehen kann. Dann muss Ihr Browser die Bilder, Javascript, CSS und Anzeigen von verschiedenen Domänen abrufen, die mehr DNS-Anforderungen generieren. Sie können aus jeder Domäne stammen. Die wenigen Porno-Domains von Tumblr, die ich ausprobiert habe, haben nichts Offensichtliches. Tumblr hostet normalerweise Bilder und Videos im eigenen Haus, aber Sie können sich aus Datenschutzgründen nicht darauf verlassen.
Schwern
12

Sie erhalten HTTP / 2- Unterstützung, den neuen Webstandard, der die Ladegeschwindigkeit von Websites erheblich verbessern soll .

Da Browser - Hersteller gewählt haben HTTP / 2 nur über HTTPS zu unterstützen, so dass HTTPS (auf einem Server, die HTTP / 2 unterstützt) ist die einzige Möglichkeit , dieses Geschwindigkeits - Upgrade zu erhalten.

user2428118
quelle
1
Das ist ziemlich groß und muss mehr gehypt werden. Es ist ein Business Case für das Laden von HTTPS, das nur die meisten Manager unterstützen können.
Dewi Morgan
10

(Teile aus meiner Antwort auf eine ähnliche Frage.)


HTTPS kann zwei Dinge erreichen:

  • Authentifizierung . Stellen Sie sicher, dass der Besucher mit dem tatsächlichen Domaininhaber kommuniziert.
  • Verschlüsselung . Stellen Sie sicher, dass nur dieser Domaininhaber und der Besucher ihre Kommunikation lesen können.

Wahrscheinlich sind sich alle einig, dass HTTPS bei der Übermittlung von Geheimnissen (wie Passwörtern, Bankdaten usw.) obligatorisch sein sollte. Aber auch wenn Ihre Site solche Geheimnisse nicht verarbeitet, gibt es mehrere andere Fälle, in denen und warum die Verwendung von HTTPS von Vorteil sein kann.

Angreifer können den angeforderten Inhalt nicht manipulieren.

Bei der Verwendung von HTTP können Abhörer den Inhalt manipulieren, den Ihre Besucher auf Ihrer Website sehen. Zum Beispiel:

  • Einbeziehen von Malware in die Software, die Sie zum Download anbieten (oder wenn Sie keine Software-Downloads anbieten, beginnen die Angreifer damit).
  • Einige Ihrer Inhalte zensieren. Ändern Sie Ihre Meinungsäußerungen.
  • Injizieren von Werbung.
  • Ersetzen Sie die Daten Ihres Spendenkontos durch ihre eigenen.

HTTPS kann dies verhindern.

Angreifer können den angeforderten Inhalt nicht lesen.

Bei Verwendung von HTTP können Abhörer erfahren, auf welche Seiten / Inhalte auf Ihrem Host Ihre Besucher zugreifen. Obwohl der Inhalt selbst öffentlich sein kann, kann das Wissen, dass eine bestimmte Person ihn konsumiert, problematisch sein:

  • Es öffnet einen Angriffsvektor für Social Engineering .
  • Es verletzt die Privatsphäre.
  • Dies kann zu Überwachung und Bestrafung führen (bis hin zu Inhaftierung, Folter, Tod).

Dies hängt natürlich von der Art Ihres Inhalts ab, aber was für Sie als harmloser Inhalt erscheint, kann von anderen Parteien anders interpretiert werden.

Besser auf Nummer sicher gehen. HTTPS kann dies verhindern.

unor
quelle
1
In der Tat kann HTTPS dies verhindern. In einigen Situationen ist dies möglicherweise nicht der Fall. Ein aktuelles Beispiel finden Sie unter Lenovo Superfish .
ein CVn
@ MichaelKjörling: Ja, ich bin mir dessen bewusst (deshalb habe ich darauf geachtet, "can" zu verwenden;)), aber es ist ein Problem, das vom Verhalten des Besuchers herrührt, kein Problem mit HTTPS selbst oder der Art und Weise, wie der Webmaster es verwendet es richtig? Dem Besucher sollte es wichtig sein, welchen Zertifizierungsstellen er vertrauen soll (und dem Besucher sollte es wichtig sein, welche Software er installieren soll, insbesondere wenn er die Berechtigung hat, mit der Liste der vertrauenswürdigen Zertifizierungsstellen zu experimentieren).
oder
Tatsächlich; Ich argumentiere nicht gegen Ihren Standpunkt, sondern füge nur etwas hinzu!
einen Lebenslauf vom
6

Es verhindert Man-in-the-Middle-Angriffe, die Sie denken lassen, dass Sie Ihre Website besuchen, aber eine Seite anzeigen, die tatsächlich von einer anderen stammt, und möglicherweise versuchen, Informationen von Ihnen abzurufen. Da die Daten verschlüsselt sind, wird es für einen Angreifer auch schwieriger, die Seite so zu manipulieren, wie Sie sie sehen.

Da Sie ein SSL-Zertifikat benötigen, das bestätigt, dass Sie der Eigentümer der Website sind, und mindestens eine Bestätigung gibt, wer Sie sind.

rauben
quelle
3

Marketingfirmen wie Hitwise zahlen ISPs, um Daten über Ihre Site zu sammeln, wenn Sie kein SSL verwenden. Es werden Daten über Ihre Website gesammelt, die Sie Ihren Konkurrenten möglicherweise nicht mitteilen möchten:

  • Nutzerdemografie
  • Besucherstatistik
  • beliebte seiten
  • Suchmaschinen-Schlüsselwörter (obwohl dies mit "nicht angegeben" heutzutage weniger problematisch ist)
Stephen Ostermiller
quelle
3

Und um allen Antworten noch eine Sache hinzuzufügen, werde ich nur über Latenz sprechen . Es scheint, dass hier niemand darüber geschrieben hat.

Eine niedrige HTTP-Latenzzeit von Client zu Server ist für schnell ladende, reaktionsschnelle Websites von entscheidender Bedeutung.

TCP / IP allein verfügt über einen 3-Wege-Handshake (für den anfänglichen Verbindungsaufbau für einfaches HTTP über TCP sind 3 Pakete erforderlich). Wenn SSL / TLS verwendet wird, ist der Verbindungsaufbau aufwändiger, was bedeutet, dass die Latenz für neue HTTPS-Verbindungen unvermeidlich höher ist als für HTTP im Nur-Text-Format.

Das Problem mit HTTP ist, dass es nicht sicher ist. Wenn Sie also vertrauliche Daten haben, benötigen Sie eine Form der Sicherheit. Wenn Sie etwas in Ihren Webbrowser eingeben, das mit "https" beginnt, bitten Sie Ihren Browser, eine Verschlüsselungsebene zu verwenden, um den Datenverkehr zu schützen. Dies bietet einen angemessenen Schutz gegen Lauschangriffe, aber das Problem ist, dass es langsamer sein wird. Da wir unseren Datenverkehr verschlüsseln möchten, sind einige Berechnungen erforderlich, die die Zeit verlängern. Dies bedeutet, dass Ihre Website für Benutzer träge erscheint, wenn Sie Ihr System nicht richtig gestalten.

Schlussfolgern:

Ich habe eine große Nur-Inhalt-Site. Kein Anmelden oder Abmelden, keine Benutzernamen, keine E-Mail-Adressen, kein sicherer Bereich, nichts Geheimnisvolles auf der Site, nada. Die Leute kommen einfach auf die Website und gehen von Seite zu Seite und schauen sich den Inhalt an.

In diesem Fall verwende ich kein SSL. Ich möchte meine Seite haben, wenn Sie darauf klicken, dass sie in einer Sekunde geöffnet wird. Das kommt aus der Benutzererfahrung. Sie tun, was Sie wollen, ich lege einfach keine Zertifikate auf alles, was ich mache. In diesem speziellen Fall würde ich es überhaupt nicht verwenden.

Josip Ivic
quelle
IMO, das ist genauso eine richtige Antwort wie die, die alle Stimmen bekommt.
Michael Yaeger
youtube.com/watch?v=e6DUrH56g14 nennt einige Techniken, um die Auswirkungen auf die Leistung zu verringern, auch wenn Sie (oder ein großer Teil Ihrer Kunden) aus irgendeinem Grund HTTP / 2 nicht ausführen können.
ein Lebenslauf
1

Abgesehen von den Vorteilen, die von anderen erwähnt wurden, gibt es einen Grund, warum Sie auf SSL umsteigen, es sei denn, Ihre Besucher, die Chrome verwenden, interessieren Sie nicht - die neuen Versionen von Chrome (ab Ende des Jahres, soweit ich weiß) Standardmäßig wird für alle Sites, die kein HTTPS verwenden, eine Warnung angezeigt (die Benutzer von Ihrer Site vertreibt).

//BEARBEITEN:

Hier sind Links zu zwei detaillierteren Artikeln, von denen ich anscheinend keinen gefunden habe, über den ich gelesen habe, als sie die Funktion offiziell einführen wollen:

https://motherboard.vice.com/read/google-will-soon-shame-all-websites-that-uncrypted-chrome-https

http://www.pandasecurity.com/mediacenter/security/websites-that-arent-using-https/

Vorschlaghammer
quelle
Es ist kein perfektes Zitat für die Behauptung in der Antwort, aber es gibt immer die Kennzeichnung von HTTP als nicht sicher .
einen Lebenslauf vom
1

Die einfache Antwort ist, dass es keinen guten Grund gibt, dies nicht zu tun . In der Vergangenheit gab es Argumente, SSL nur zu verwenden, wenn dies unbedingt erforderlich ist (z. B. auf E-Commerce-Websites, auf denen Zahlungsdetails erfasst werden).

Dies hing größtenteils mit dem Installationsverfahren für SSL-Zertifikate, den Kosten, der zusätzlichen Belastung des Webservers und den Netzwerkbeschränkungen zusammen - zu einer Zeit, als die Menschen kein Breitband usw. hatten. Keiner dieser Gründe traf im Jahr 2016 wirklich zu.

In Bezug auf SEO wissen wir, dass es das Ziel der meisten Suchmaschinen ist, die besten Ergebnisse für ihre Benutzer zu erzielen. Dies kann erreicht werden, indem ihnen eine sichere Verbindung zu der Site geboten wird, die sie gerade besuchen. In dieser Hinsicht ist es den Suchmaschinen egal, ob auf der Website "sensible" Daten vorhanden sind (die entweder angezeigt oder gesammelt werden). Wenn die Site über HTTPS bereitgestellt wird, werden potenzielle Risiken für Authentifizierung und Verschlüsselung erheblich minimiert, sodass die Site als "besser" als die entsprechende Site ohne HTTPS eingestuft wird.

Im Grunde ist es so einfach und unkompliziert zu implementieren, dass es heutzutage nur als Best Practice gilt. Als Webentwickler denke ich nur darüber nach, ein SSL-Zertifikat zu installieren und dann alle Anforderungen über HTTPS (sehr einfach mit .htaccess oder einem Äquivalent) zu erzwingen, um ein Standardbestandteil jeder von mir erstellten Site oder Webanwendung zu sein.

Andy
quelle
1

Zusätzlich zu den anderen Antworten sollten Browser (wie in RFC 2119) den User-AgentHeader senden . Es bietet genügend Informationen darüber, welche Plattform ein Benutzer verwendet, wenn er die aktuelle sendet User-Agent. Wenn Eve eine Anfrage von Alice abhören kann und Alice die aktuelle sendet User-Agent, weiß Eve, welche Plattform Alice verwendet, ohne dass Alice eine Verbindung zum Server von Eve herstellt. Mit solchem ​​Wissen wird es einfacher sein, sich in Alices Computer zu hacken.

v7d8dpo4
quelle
Dies ist ein bisschen so, als würde man sagen, wenn Eve die VIN-Nummer von Alices Auto durch die Windschutzscheibe des Autos sehen kann, ist es für Eve einfacher, in Alices Auto einzubrechen, da sie anhand der VIN-Nummer herausfinden kann, welche Marke und welches Modellauto Alice besitzt. Sicher, es ist eine Möglichkeit, aber es gibt unzählige Möglichkeiten, die gleichen Informationen zu erhalten, ohne dass MITM irgendetwas tut, und zwar auf eine Weise, die sich kaum als etwas anderes als das Internet-Hintergrundrauschen für einen Blattknoten im Netzwerk bemerkbar macht. Zum Beispiel: Eve (oder vielleicht Mallory) könnte Alice einen Link zu einer von ihnen kontrollierten Webseite per E-Mail senden. Die Leute lieben es, auf Links zu klicken.
einen Lebenslauf vom
1

Sie haben zwei Möglichkeiten, um Ihre Hauptdomain (mysite.com) und deren Unterdomains (play.mysite.com und test.mysite.com) zu sichern. SSL ist nicht nur für E-Commerce- und Zahlungshändler-Websites gedacht, auf denen Finanztransaktionen oder Anmeldeinformationen über die Website ausgetauscht werden. Dies ist ebenso wichtig für inhaltsbasierte Websites. Angreifer suchen immer nach einer einfachen HTTP-Website oder einer Lücke in der Website. SSL bietet nicht nur Sicherheit, sondern authentifiziert auch Ihre Website. Der Hauptvorteil von SSL auf inhaltsbasierten Websites besteht darin, dass

  • Sie können Man-in-Middle-Angriffe vermeiden, die den Inhalt der Website verändern können.

  • Außerdem verfügt Ihre Website über eine Authentizität, die den Besuchern mitteilt, dass ihre Informationen geschützt sind, wenn sie mit der Website geteilt werden.

  • Sie erhalten Gewissheit über die Echtheit der Website.

  • Darüber hinaus ist Ihre Website frei von schädlichen Werbeanzeigen, Exploits, unerwünschten Widgets, Softwareaustausch und Schäden an Webseiten, sobald Sie SSL auf Ihrer Website installiert haben.

  • SSL-Zertifikat bietet statisches Site-Siegel, das zur Sicherheit auf jeder Webseite platziert werden kann, und Kunden können auf das Siegel klicken, um die Details des installierten SSL-Zertifikats zu erfahren.

Jason Parms
quelle
1

Andere Antworten sprachen über die Vorteile von HTTPS. Wäre ein Benutzer gezwungen , HTTPS zu verwenden? Aus zwei Gründen:

  • Wenn Sie Benutzern die Option geben, HTTPS nicht zu verwenden, wird dies wahrscheinlich nicht der Fall sein, zumal die meisten Browser standardmäßig http: // und nicht https: // verwenden, wenn Sie eine Domäne in die Adressleiste eingeben.
  • Indem Sie sowohl eine sichere als auch eine unsichere Version implementieren, erhöhen Sie die Angriffsfläche der Verbindung. Sie geben Angreifern die Möglichkeit, einen Downgrade-Angriff durchzuführen , selbst wenn Sie der Meinung sind, dass Sie die sichere Version verwenden.
  • Wenn Sie jede http: // -URL auf die entsprechende https: // -URL umleiten, wird dem Administrator des Servers und den Suchmaschinen das Leben erleichtert. Niemand muss sich Gedanken darüber machen, ob http: // und https: // gleichbedeutend sind oder auf ganz andere Dinge verweisen sollen. Durch die Umleitung der URLs wird jedem klar, welche URLs verwendet werden sollen.
Flimm
quelle