Nehmen wir an, ich habe eine große Nur-Inhalt-Site. Kein Anmelden oder Abmelden, keine Benutzernamen, keine E-Mail-Adressen, kein sicherer Bereich, nichts Geheimnisvolles auf der Site, nada. Die Leute kommen einfach auf die Website und gehen von Seite zu Seite und schauen sich den Inhalt an.
Abgesehen von einer geringfügigen Beeinträchtigung der Suchmaschinenoptimierung durch Google ( sehr geringfügig, wie ich gelesen habe), hat es einen Vorteil, die Website zum Laden über HTTPS zu zwingen?
Antworten:
HTTPS bietet nicht nur Geheimhaltung (von der Sie den Wert bezweifeln, obwohl es noch gute Gründe dafür gibt), sondern auch Authentizität , die immer von Wert ist. Ohne diesen kann ein böswilliger Zugangspunkt / Router / ISP / etc. Sie können jeden Teil Ihrer Site neu schreiben, bevor Sie sie dem Benutzer anzeigen. Dies könnte Folgendes umfassen:
Das Versäumnis, Ihre Benutzer vor diesen Dingen zu schützen, ist unverantwortlich.
quelle
... bis nach Ihnen . Es könnte einen guten Grund dafür geben, dass jemand eine sichere Verbindung wünscht. Es schafft (teilweise) Privatsphäre:
Man könnte meinen, es sei unbedeutend, oder vielleicht ist es jetzt keine große Sache, aber es könnte sich um einen anderen Zeitpunkt handeln. Ich bin fest davon überzeugt, dass niemand außer mir und der Website genau wissen sollte, was ich tue.
Es schafft Vertrauen. Das Vorhängeschloss ist ein Zeichen der Sicherheit und kann ein gewisses Maß an Kompetenz in Bezug auf die Website und damit auf Ihre Produkte bedeuten.
Es macht Sie weniger zum Ziel für zB MitM-Angriffe. Sicherheit steigt.
Mit Initiativen wie Let's Encrypt , die es viel einfacher und kostenloser machen , gibt es nicht viele Nachteile. Die von SSL beanspruchte CPU-Leistung ist heutzutage vernachlässigbar.
quelle
https://penisland.tumblr.com/
Ihrem Browser gehen, wird eine DNS-Anfrage fürpenisland.tumblr.com
die, sofern Sie Ihre DNS-Abfragen geschützt haben, der Netzwerkadministrator sehen kann. Dann muss Ihr Browser die Bilder, Javascript, CSS und Anzeigen von verschiedenen Domänen abrufen, die mehr DNS-Anforderungen generieren. Sie können aus jeder Domäne stammen. Die wenigen Porno-Domains von Tumblr, die ich ausprobiert habe, haben nichts Offensichtliches. Tumblr hostet normalerweise Bilder und Videos im eigenen Haus, aber Sie können sich aus Datenschutzgründen nicht darauf verlassen.Sie erhalten HTTP / 2- Unterstützung, den neuen Webstandard, der die Ladegeschwindigkeit von Websites erheblich verbessern soll .
Da Browser - Hersteller gewählt haben HTTP / 2 nur über HTTPS zu unterstützen, so dass HTTPS (auf einem Server, die HTTP / 2 unterstützt) ist die einzige Möglichkeit , dieses Geschwindigkeits - Upgrade zu erhalten.
quelle
(Teile aus meiner Antwort auf eine ähnliche Frage.)
HTTPS kann zwei Dinge erreichen:
Wahrscheinlich sind sich alle einig, dass HTTPS bei der Übermittlung von Geheimnissen (wie Passwörtern, Bankdaten usw.) obligatorisch sein sollte. Aber auch wenn Ihre Site solche Geheimnisse nicht verarbeitet, gibt es mehrere andere Fälle, in denen und warum die Verwendung von HTTPS von Vorteil sein kann.
Angreifer können den angeforderten Inhalt nicht manipulieren.
Bei der Verwendung von HTTP können Abhörer den Inhalt manipulieren, den Ihre Besucher auf Ihrer Website sehen. Zum Beispiel:
HTTPS kann dies verhindern.
Angreifer können den angeforderten Inhalt nicht lesen.
Bei Verwendung von HTTP können Abhörer erfahren, auf welche Seiten / Inhalte auf Ihrem Host Ihre Besucher zugreifen. Obwohl der Inhalt selbst öffentlich sein kann, kann das Wissen, dass eine bestimmte Person ihn konsumiert, problematisch sein:
Dies hängt natürlich von der Art Ihres Inhalts ab, aber was für Sie als harmloser Inhalt erscheint, kann von anderen Parteien anders interpretiert werden.
Besser auf Nummer sicher gehen. HTTPS kann dies verhindern.
quelle
Es verhindert Man-in-the-Middle-Angriffe, die Sie denken lassen, dass Sie Ihre Website besuchen, aber eine Seite anzeigen, die tatsächlich von einer anderen stammt, und möglicherweise versuchen, Informationen von Ihnen abzurufen. Da die Daten verschlüsselt sind, wird es für einen Angreifer auch schwieriger, die Seite so zu manipulieren, wie Sie sie sehen.
Da Sie ein SSL-Zertifikat benötigen, das bestätigt, dass Sie der Eigentümer der Website sind, und mindestens eine Bestätigung gibt, wer Sie sind.
quelle
Marketingfirmen wie Hitwise zahlen ISPs, um Daten über Ihre Site zu sammeln, wenn Sie kein SSL verwenden. Es werden Daten über Ihre Website gesammelt, die Sie Ihren Konkurrenten möglicherweise nicht mitteilen möchten:
quelle
Und um allen Antworten noch eine Sache hinzuzufügen, werde ich nur über Latenz sprechen . Es scheint, dass hier niemand darüber geschrieben hat.
Eine niedrige HTTP-Latenzzeit von Client zu Server ist für schnell ladende, reaktionsschnelle Websites von entscheidender Bedeutung.
TCP / IP allein verfügt über einen 3-Wege-Handshake (für den anfänglichen Verbindungsaufbau für einfaches HTTP über TCP sind 3 Pakete erforderlich). Wenn SSL / TLS verwendet wird, ist der Verbindungsaufbau aufwändiger, was bedeutet, dass die Latenz für neue HTTPS-Verbindungen unvermeidlich höher ist als für HTTP im Nur-Text-Format.
Das Problem mit HTTP ist, dass es nicht sicher ist. Wenn Sie also vertrauliche Daten haben, benötigen Sie eine Form der Sicherheit. Wenn Sie etwas in Ihren Webbrowser eingeben, das mit "https" beginnt, bitten Sie Ihren Browser, eine Verschlüsselungsebene zu verwenden, um den Datenverkehr zu schützen. Dies bietet einen angemessenen Schutz gegen Lauschangriffe, aber das Problem ist, dass es langsamer sein wird. Da wir unseren Datenverkehr verschlüsseln möchten, sind einige Berechnungen erforderlich, die die Zeit verlängern. Dies bedeutet, dass Ihre Website für Benutzer träge erscheint, wenn Sie Ihr System nicht richtig gestalten.
Schlussfolgern:
In diesem Fall verwende ich kein SSL. Ich möchte meine Seite haben, wenn Sie darauf klicken, dass sie in einer Sekunde geöffnet wird. Das kommt aus der Benutzererfahrung. Sie tun, was Sie wollen, ich lege einfach keine Zertifikate auf alles, was ich mache. In diesem speziellen Fall würde ich es überhaupt nicht verwenden.
quelle
Abgesehen von den Vorteilen, die von anderen erwähnt wurden, gibt es einen Grund, warum Sie auf SSL umsteigen, es sei denn, Ihre Besucher, die Chrome verwenden, interessieren Sie nicht - die neuen Versionen von Chrome (ab Ende des Jahres, soweit ich weiß) Standardmäßig wird für alle Sites, die kein HTTPS verwenden, eine Warnung angezeigt (die Benutzer von Ihrer Site vertreibt).
//BEARBEITEN:
Hier sind Links zu zwei detaillierteren Artikeln, von denen ich anscheinend keinen gefunden habe, über den ich gelesen habe, als sie die Funktion offiziell einführen wollen:
https://motherboard.vice.com/read/google-will-soon-shame-all-websites-that-uncrypted-chrome-https
http://www.pandasecurity.com/mediacenter/security/websites-that-arent-using-https/
quelle
Die einfache Antwort ist, dass es keinen guten Grund gibt, dies nicht zu tun . In der Vergangenheit gab es Argumente, SSL nur zu verwenden, wenn dies unbedingt erforderlich ist (z. B. auf E-Commerce-Websites, auf denen Zahlungsdetails erfasst werden).
Dies hing größtenteils mit dem Installationsverfahren für SSL-Zertifikate, den Kosten, der zusätzlichen Belastung des Webservers und den Netzwerkbeschränkungen zusammen - zu einer Zeit, als die Menschen kein Breitband usw. hatten. Keiner dieser Gründe traf im Jahr 2016 wirklich zu.
In Bezug auf SEO wissen wir, dass es das Ziel der meisten Suchmaschinen ist, die besten Ergebnisse für ihre Benutzer zu erzielen. Dies kann erreicht werden, indem ihnen eine sichere Verbindung zu der Site geboten wird, die sie gerade besuchen. In dieser Hinsicht ist es den Suchmaschinen egal, ob auf der Website "sensible" Daten vorhanden sind (die entweder angezeigt oder gesammelt werden). Wenn die Site über HTTPS bereitgestellt wird, werden potenzielle Risiken für Authentifizierung und Verschlüsselung erheblich minimiert, sodass die Site als "besser" als die entsprechende Site ohne HTTPS eingestuft wird.
Im Grunde ist es so einfach und unkompliziert zu implementieren, dass es heutzutage nur als Best Practice gilt. Als Webentwickler denke ich nur darüber nach, ein SSL-Zertifikat zu installieren und dann alle Anforderungen über HTTPS (sehr einfach mit .htaccess oder einem Äquivalent) zu erzwingen, um ein Standardbestandteil jeder von mir erstellten Site oder Webanwendung zu sein.
quelle
Zusätzlich zu den anderen Antworten sollten Browser (wie in RFC 2119) den
User-Agent
Header senden . Es bietet genügend Informationen darüber, welche Plattform ein Benutzer verwendet, wenn er die aktuelle sendetUser-Agent
. Wenn Eve eine Anfrage von Alice abhören kann und Alice die aktuelle sendetUser-Agent
, weiß Eve, welche Plattform Alice verwendet, ohne dass Alice eine Verbindung zum Server von Eve herstellt. Mit solchem Wissen wird es einfacher sein, sich in Alices Computer zu hacken.quelle
Sie haben zwei Möglichkeiten, um Ihre Hauptdomain (mysite.com) und deren Unterdomains (play.mysite.com und test.mysite.com) zu sichern. SSL ist nicht nur für E-Commerce- und Zahlungshändler-Websites gedacht, auf denen Finanztransaktionen oder Anmeldeinformationen über die Website ausgetauscht werden. Dies ist ebenso wichtig für inhaltsbasierte Websites. Angreifer suchen immer nach einer einfachen HTTP-Website oder einer Lücke in der Website. SSL bietet nicht nur Sicherheit, sondern authentifiziert auch Ihre Website. Der Hauptvorteil von SSL auf inhaltsbasierten Websites besteht darin, dass
Sie können Man-in-Middle-Angriffe vermeiden, die den Inhalt der Website verändern können.
Außerdem verfügt Ihre Website über eine Authentizität, die den Besuchern mitteilt, dass ihre Informationen geschützt sind, wenn sie mit der Website geteilt werden.
Sie erhalten Gewissheit über die Echtheit der Website.
Darüber hinaus ist Ihre Website frei von schädlichen Werbeanzeigen, Exploits, unerwünschten Widgets, Softwareaustausch und Schäden an Webseiten, sobald Sie SSL auf Ihrer Website installiert haben.
SSL-Zertifikat bietet statisches Site-Siegel, das zur Sicherheit auf jeder Webseite platziert werden kann, und Kunden können auf das Siegel klicken, um die Details des installierten SSL-Zertifikats zu erfahren.
quelle
Andere Antworten sprachen über die Vorteile von HTTPS. Wäre ein Benutzer gezwungen , HTTPS zu verwenden? Aus zwei Gründen:
quelle