HTTPS'yi bir web sitesinde zorlamamak için herhangi bir sebep var mı?

49

Sık sık kullandığım bir web sitesi sonunda TLS'yi sunucularına etkinleştirmeye karar verdi, sadece web sitelerinin çoğunu zorunlu kılmadı. Sağlayıcı, TLS'nin isteğe bağlı olması gerektiğini iddia eder . Neden?

Kendi web sitemde uzun süredir zorunlu TLS ve HSTS kurdum ve zayıf şifre paketleri devre dışı bırakıldı. Düz metin erişiminin, TLS korumalı sürüme bir HTTP 301 ile kapatılması garanti edilir. Bu web sitemi olumsuz yönde etkiliyor mu?

ssl hsts

— Maxthon Chan
kaynak

12

Bir şey yanlış giderse HSTS'nin başını belaya sokacağından korkabilirler (yani ücretsiz CA'ları sertifika vermeyi durdurur veya bazı sorunlar nedeniyle tarayıcı güven mağazalarından kaldırılır). Mevcut TLS ekosistemiyle, güvenilir CA'lara / tarayıcı satıcılarına bağımlılıklar yaratırsınız. Kaçınılması ve buna değer olması şu anda zor, ancak bunu bir sorun olarak görebiliyor ve HTTPS'yi bir şey olması durumunda bağımsız kalmak için bir çözüm olarak zorlamıyorsunuz.

— allo

Herkes http1.1'den çok daha hızlı olan h2 için tls gerekliliğinden bahsetmek istemektedir. hsts için iyi, son zamanlarda hsts önyükleme listesi için sitemi gönderdim, umarım hep birlikte 80 numaralı bağlantı noktasını devre dışı bırakabilirim

— Jacob Evans

— Şunlara

4

@gerrit Bu argüman Let's Encrypt gibi düşük maliyetli ve ücretsiz sertifika yetkililerinin önünde durmaz.

— Maxthon Chan

1

Let's Encrypt her ana bilgisayarda çalışmaz ve daha iyi bir ana bilgisayar kullanmak kadar kolay değildir. Teknik nedenlerden dolayı (doğrudan) desteklenmeyen App Engine kullanıyorum.

— Carl Smith

8

TLS'yi kullanmak için birkaç iyi neden var.

(ve bunu yapmamak için sadece birkaç marjinal sebep).

Sitenin herhangi bir kimlik doğrulaması varsa, oturumları ve şifreleri çalmak için HTTP gösterimini kullanma.
Statik, yalnızca bilgilendirme sitelerinde bile, TLS kullanımı, hiç kimsenin veriyi değiştirmemesini sağlar.
Google I / O 2014'ten bu yana , Google, tüm siteleri HTTPS kullanmaya teşvik etmek için birkaç adım attı:
- Google, web yöneticilerinin sunucularını daha güvenli bir şekilde yapılandırmasına yardımcı olmakta ancak HTTPS'yi bir sıralama sinyali olarak kullanmaktadır .
- Daha yakın bir zamanda, Google Chrome, tüm HTTP sitelerini güvenli olmayan olarak işaretlemeye yönelik uzun vadeli bir planın parçası olarak , HTTP sitelerini güvenli olmayan olarak işaretlemeye başladı .
- Google Chrome Geliştiricileri ekibinin Mythbusting HTTPS dersi, tutumlarını açıkça belirtiyor.
Mozilla Güvenlik Blogu ayrıca açıkladı kaldırıyoruz Güvenli Olmayan HTTP yaparak web sitelerini yaratmanın tek tüm yeni özellikler kullanılabilir ve kademeli olarak tarayıcıya erişim kaldırıyorsunuz güvenli olmayan web siteleri, kullanıcıların güvenlik ve gizlilik için risk teşkil özellikle özellikler için mevcuttur .

TLS'yi uygulamak için birkaç iyi neden de var

Zaten çok güvenilir bir sertifikanız varsa, neden her zaman kullanmıyorsunuz? Pratik olarak mevcut tüm tarayıcılar TLS'yi destekler ve yüklü kök sertifikalarına sahiptir. Aslında yıllardır gördüğüm tek uyumluluk sorunu, Android aygıtları ve Android'in yalnızca kök CA'lara doğrudan güvendiği için eksik ara sertifika yetkilisi oldu . Bu, sunucuyu sertifika zincirini kök CA'ya geri gönderecek şekilde yapılandırarak kolayca önlenebilir.

Eğer servis sağlayıcınız hala doğrudan HTTP bağlantılarına izin vermek istiyorsa 301 Moved Permanently, bazı eski tarayıcılardan veya mobil cihazlardan erişim sağlamak için, tarayıcının HTTPS yapılandırılmış olduğunuzu bile bilmesinin bir yolu yoktur . Ayrıca, HTTP Sıkı Aktarım Güvenliği'ni (HSTS) aşağıdakileri kullanmadan dağıtmamalısınız 301 Moved Permanently:

7.2.  HTTP Request Type

   If an HSTS Host receives a HTTP request message over a non-secure
   transport, it SHOULD send a HTTP response message containing a status
   code indicating a permanent redirect, such as status code 301
   (Section 10.3.2 of [RFC2616]), and a Location header field value
   containing either the HTTP request's original Effective Request URI
   (see Section 9 "Constructing an Effective Request URI") altered as
   necessary to have a URI scheme of "https", or a URI generated
   according to local policy with a URI scheme of "https").

Her iki protokol için de yapılandırılmış çeşitli sitelerin sorunu The Tor Project ve Electronic Frontier Foundation tarafından tanınıyor ve çok kullanıcılı bir HTTPS Everywhere uzantısı tarafından ele alındı :

Web üzerindeki birçok site HTTPS üzerinden şifreleme için sınırlı destek sağlar, ancak kullanımını zorlaştırır. Örneğin, şifrelenmemiş HTTP'yi varsayılan olarak ayarlayabilir veya şifrelenmiş sayfaları şifrelenmemiş siteye geri dönen bağlantılarla doldurabilirler.

Karma içerik de, güvenli olmayan HTTP bağlantısıyla yüklenen JavaScript veya CSS'yi değiştirerek HTTPS sitelerine olası XSS saldırıları nedeniyle büyük bir sorundur. Bu nedenle günümüzde tüm ana tarayıcılar kullanıcıları karışık içeriğe sahip sayfalar hakkında uyarmakta ve otomatik olarak yüklemeyi reddetmektedir. Bu , bir siteyi301 HTTP yönlendirmeleri olmadan sürdürmeyi zorlaştırır : Her HTTP sayfasının yalnızca HTTP bağlamını (CSS, JS, resimler vb.) Yüklediğinden ve her HTTPS sayfasının yalnızca HTTPS içeriğini yüklediğinden emin olmalısınız. Her ikisinde de aynı içerikle elde etmek son derece zor.

— Esa Jokinen
kaynak

If your maintainer still would like to allow HTTP connections without direct 301 Moved Permanently, say for ensuring access from some really old browsers or mobile devices, HSTS is the correct choise as it only enforces HTTPS when it is clear that the browser supports it

ancak bu durumda istemci (HTTPS uyumlu bile olsa) HTTPS sürümünü asla bilemeyecek, başlangıçta HTTP yükleyecekler.

— Cthulhu

Son paragrafınızı kaydedin: HTSTPS dışı bağlantı sırasında HSTS başlığı dikkate alınmaz.

— Cthulhu

1

HSTS Host MUST NOT include the STS header field in HTTP responses conveyed over non-secure transport. If an HTTP response is received over insecure transport, the UA MUST ignore any present STS header field(s). tools.ietf.org/id/draft-ietf-websec-strict-transport-sec-14.txt

— Cthulhu

Yanlış ipucumu gösterdiğin için teşekkürler, Cthulhu! Bundan ilham alarak cevabımda önemli gelişmeler oldu. Yeni içeriğe karşı da eleştirel olmaktan memnuniyet duyarız. :)

— Esa Jokinen

62

Bu gün ve yaşta, TLS + HSTS, sitenizin ne yaptıklarını bilmek için güvenilebilecek profesyoneller tarafından yönetildiğinin göstergesidir. Bu, Google’ın da belirttiği gibi, bunu yapan siteler için pozitif sıralama sağlayacağını belirttiği gibi, güvenilirlik için asgari bir standart.

Diğer taraftan maksimum uyumluluk. Özellikle Amerika Birleşik Devletleri, Avrupa veya Çin olmayan dünyanın bazı bölgelerinde hala daha yaşlı müşteriler var. Düz HTTP her zaman işe yarar (yine de her zaman iyi çalışmaz ; bu başka bir hikaye).

TLS + HSTS: Arama motoru sıralaması için optimize et
Düz HTTP: Uyumluluk için optimize et

Sizin için neyin daha önemli olduğuna bağlı.

— sysadmin1138
kaynak

16

Belki de seçici davranıyorum, ama bu ilk cümle biraz gergin gözüküyor: https olan bir site, profesyonellik veya sorumlu kişilerin güvenilirliği hakkında hiçbir şey söylemiyor. Bir site https olabilir ve hala girdileri sterilize etmeyen insanlar tarafından geliştirilebilir / yönetilebilir; bu da siteyi SQL enjeksiyonuna veya XSS'ye karşı savunmasız hale getirir; veya https olabilir ve geçersiz olabilir, erişilebilir değil veya kullanılamaz.

— Alvaro Montoro

34

HTTPS'yi kullanmak profesyonellik garantisi değildir, ancak eksikliği kesinlikle bunun tam tersini söyler.

— Esa Jokinen

8

TLS ve HSTS kullanımı, daha büyük bir dizinin parçası olan, sitenin okunmaya değer olabileceği sinyalleridir. Diğerlerinin aksine , varlığı için test etmek oldukça kolaydır , bu yüzden Google bunu geri kalanı için bir vekil olarak kullanıyor.

— sysadmin1138

3

@Braiam Stack Exchange sadece https'ye geçiyor ve yakında hsts kullanmaya başlayacak. Http, uyumluluk nedeniyle değil, yavaş ve dikkatli olmaları nedeniyle hala kullanılabilir ve teknik olarak taşınması zor.

— captncraig

4

@ esajohnson - https eksikliği, profesyonelliği kanıtlamaz. Bunun için bir "ihtiyaç" olmadığını gösterir. Örneğin, bir CentOS aynası.

— warren

30

Basit salt okunur web sitelerinin HTTPS kullanmamak için iyi bir nedeni vardır .

Web önbellekleri HTTPS üzerinden taşınan görüntüleri önbelleğe alamaz.
Dünyanın bazı bölgelerinin çok düşük hızlı uluslararası bağlantıları vardır, bu nedenle önbelleklere bağlıdır.
Başka bir alan adından görüntüler barındırma, operatörlerin küçük salt okunur web sitelerinin sahip olmasını bekleyemeyeceğiniz beceriler alır .

— Ian Ringrose
kaynak

1

Bu ülkeleri hedeflerseniz, salt okunur içerikler CDN'de dağıtılabilir. CDN, statik içerikleri kendi araçlarını kullanarak yansıtır ve yine de HTTPS üzerinden sunar. CDN'yi bulmak oldukça kolay olabilir ve küçük web siteleri için kullanımı o kadar pahalı değildir.

— Maxthon Chan

8

@MaxthonChan, anneme bir CDN'nin ne olduğunu anlatmaya çalışın ... Yine de yerel kilise hizmetleri zamanlarında bir web sitesi hazırlayabilir.

— Ian Ringrose 19: 28'de

6

@ MichaelHampton bir önbellek, açıklama tuşlarına sahip olmadan bir HTTPS akışından görüntüyü nasıl okuyabilir? Ve bir ISS'ye anahtarlarınızla güvenir misiniz?

— Ian Ringrose

8

Hangi önbelleklerden bahsettiğinizi açıkça belirtmelisiniz.

— Michael Hampton

2

@IanRingrose Anneniz yerel kilise hizmeti bilgileri olan bir web sitesi hazırlıyorsa, çok popüler bir kilise değilse, uluslararası bağlantılardaki önbelleğe alma davranışlarının ortaya çıkması pek olası değildir.

— Jason C

14

Sağlayıcı, TLS'nin isteğe bağlı olması gerektiğini iddia eder. Neden?

Bu sorunun cevabını gerçekten bilmek için, onlara sormalısınız. Bununla birlikte, bazı tahminlerde bulunabiliriz.

Kurumsal ortamlarda, BT'nin kötü amaçlı yazılımlar için gelen ve giden trafiği, şüpheli CnC benzeri etkinlikleri, iş için uygun olmadığı düşünülen içeriği (örneğin pornografi) vb. Denetleyen bir güvenlik duvarı yüklemesi yaygındır. Bu, trafik şifreli olduğunda daha zor hale gelir. Esasen üç olası cevap vardır:

Bu trafiği izlemekten vazgeç.
MitM şifre çözme ve incelemesi yapabilmeniz için kullanıcıların makinelerine bir kök CA kurun.
Toptan blok şifreli trafik.

İlgili bir sysadmin için bu seçeneklerin hiçbiri özellikle çekici değil. Bir şirket ağına saldıran birçok tehdit var ve şirketi onlara karşı korumak onların görevi. Bununla birlikte, pek çok sitenin engellenmesi, tamamen kullanıcıların huzursuzluğunu arttırıyor ve bir kök CA kurmak, kullanıcılar için gizlilik ve güvenlikle ilgili kaygıları getirdiğinden, biraz aldatıcı olabilir. İlk defa HSTS'yi açtıklarında bir sysadmin dilekçesini reddettiğimi (üzgünüm, konuyu bulamadım) gördüğümü hatırlıyorum. porno odaklı alt dizinleri engellemek için.

Teknolojinin tekerlekleri çalkalanmaya devam ediyor ve bu tür bir korumanın eski moda olduğunu ve ortadan kaldırılması gerektiğini savunan birçok insanı bulacaksınız. Ama hala bunu uygulayan birçok kişi var ve belki de gizemli sağlayıcınızla ilgilenen kişiler de onlar.

— Xiong Chiamiov
kaynak

ssl'yi ön uç sunucuda / yük dengeleyici / benzerinde sonlandırmaya ve bundan sonra trafiği günlüğe kaydetmeye ne dersiniz?

— eis

1

@ eis Bu şirketin çalışanların ziyaret edebileceği her web sitesini kontrol edebileceğini ve bunun muhtemel olmadığını varsayar. Yayın, bir intranet web sitesinde TLS ile ilgili görünmüyor.

— Xiong Chiamiov

5

Her şey güvenlik gereksinimlerinize, kullanıcı seçiminize ve dolaylı olarak düşürülme riskine bağlıdır. Eski şifrelerin sunucu tarafında devre dışı bırakılması büyük ölçüde gereklidir, çünkü tarayıcılar mutlu bir şekilde kullanıcı deneyimi / kolaylık adı altında müşteri tarafında kesinlikle korkunç şifrelere düşecektir. Kullanıcıya güvenli bir kanala bağlı olan hiçbir şeyin güvensiz bir yöntemle ulaşılamayacağından emin olmak elbette çok da sağlam.

Blogunuzun Python'u neden Ruby'den daha çok sevdiğiniz (blogcu gibi bir örnek değil) demediğimi düşündüğümde, güvensiz HTTP'ye açıkça indirgenmeme izin vermemek, spooks ya da halkın bilmesini umursamıyorum Eriştiğim, HTTPS'nin benim için önemsiz olacağı varsayımına dayanarak hiçbir sebep olmadan yoluma giriyor.

Günümüzde, TLS'yi kutudan çıkarma kabiliyetine sahip olmayan ya da eski uygulamalara takılmış gömülü sistemler var (bence bunun çok kötü bir şey olduğunu düşünüyorum; aygıt burada], bazen bunu değiştiremiyorum).

İşte size eğlenceli bir deneme: Yeterince eski bir TLS / SSL uygulamasıyla LibreSSL'nin son sürümünü HTTPS üzerinden upstream OpenBSD sitesinden indirmeyi deneyin. Yapamazsın. Geçen gün 2012’den daha eski bir OpenSSL sürümüne sahip bir cihazda denedim, çünkü bu gömülü sistemi kaynaktan daha güvenli, yeni şeylere yükseltmek istedim - önceden oluşturulmuş bir paketin lüksüne sahip değilim. Çalıştığım zaman hata mesajları tam anlamıyla sezgisel değildi, ancak eski OpenSSL’imin doğru şeyleri desteklemediği için olduğunu sanıyorum.

Bu, yalnızca HTTPS hamlesinin aslında insanlara zarar verebileceği bir örnektir: yakın zamanda oluşturulmuş paketlerin lüksüne sahip değilseniz ve sorunu kaynağından oluşturarak kendiniz düzeltmek istiyorsanız, kilitlenirsiniz. Neyse ki, LibreSSL davasında, açıkça talep eden HTTP'ye geri dönebilirsiniz. Elbette, bu sizi bir saldırgandan kurtarmayacak, trafiğinizi zaten yeniden başlatacak, kaynak paketleri tehlikeye sokmuş sürümlerle değiştirebilecek ve tüm kasaları yeniden taradığınız web sitelerinde indirilebilecek paketleri açıklayan HTTP gövdelerinde yeniden yazabilecek, ancak yine de çok faydalı daha yaygın bir durum.

Birçoğumuz APT'ye ait olmaktan güvenli olmayan bir indirme işlemi değiliz (Advanced Persistent Thread: ulusal istihbarat teşkilatları ve diğer yüksek kaynak kaynaklı siber tehditler için güvenlik jargonu). Bazen sadece wgeten yeni şifre takımlarını desteklemeyen bir kutu üzerinde kaynağını hızlıca denetleyebildiğim (örneğin GitHub'taki kendi küçük yardımcı programlarım / komut dosyalarım) bazı düz metin belgelerini veya küçük bir programı istiyorum.

Şahsen, şunu sorardım: İçeriğiniz bir kişinin yasal olarak “kamuya açık bilgiye erişme konusunda benim iyiyim” olduğuna karar verebilecek şekilde mi? İçeriğiniz için yanlışlıkla HTTP’ye geçiş yapan teknik olmayan insanlar için gerçek bir risk olasılığı var mı? Güvenlik gereksinimlerinize, kullanıcılarınız için gizlilik şartlarına uyma gereksinimlerini ve güvenceye alınmamak için durum bazında bilinçli bir seçim yapma riskini anlayan kullanıcıların yeteneklerine karşı gizli düşürme riski. Siteniz için HTTPS'yi zorlamamak için iyi bir neden olmadığını söylemek tamamen meşru. - ama orada düz düz HTTP için hala iyi kullanım durumları olduğunu söylemenin adil olduğunu düşünüyorum.

— mtraceur
kaynak

1

"yeterince eski bir TLS / SSL uygulamasıyla HTTPS üzerinden upstream OpenBSD sitesinden yeni bir LibreSSL sürümünü indirmeyi deneyin" Tabii ki, bunun son kısmı: yeterince eski bir tarayıcıyla, örneğin sadece uygulayanları olan Host:Başlık desteği olmayan HTTP / 1.0 . Ya da yalnızca 2001’in Javascript’ini destekleyen bir web tarayıcısıyla modern sitelerde gezinmeyi deneyin. Bir noktada bir topluluk olarak ilerlemeye ihtiyacımız var, bu da maalesef bazı şeyleri bozuyor. O zaman soru şu hale gelir: Kırılmaya değer katma değer mi?

— CVn

@ MichaelKjörling Bunlar aynı zamanda değişen şiddette problemlerdir. Bu listeye yeni derleyici sürümleri ekleyeceğim. Bazıları diğerlerinden daha savunmasız. Ben eğer sen anlaşmazlık sürerek ya da neden pek emin değilim: Yazımın ikinci cümlesinde, ben kabul olduğu onlar' düşürme saldırılarından en kullanıcılarını koruyan beri bir HTTPS bağlantısı üzerinde eski şifrelere önlemek için haklı d Aksi takdirde, buna karşı savunmada veya savunmada anlamlı bir görünürlük olmaz. (İncelikle bozulmaması gereken modern web sitelerinin çoğunun uzaktan gerekçeli olduğu düşünülmüyor, ancak bu

— konunun gerisinde kalıyor

@ MichaelKjörling Bunu açıklığa kavuşturmak için, bunu ortaya çıkarmanın amacı, kullanıcıya sade HTTP sağlamanın net bir yararı olduğu, bu sorunun cevabının temel noktası olduğu için bir örnektir. Hiçbir şekilde büyük saygı duyduğum OpenBSD / LibreSSL projelerine olumsuz bir ışık tutmak değildi. Birinci fıkranın ikinci cümlesinin böyle olumsuz bir yorumu reddettiğini düşündüm. Bunun net olmadığını veya daha iyi ifade edilebileceğini düşünüyorsanız, lütfen cevabımı düzenlemek veya iyileştirmeler yapmaktan çekinmeyin.

— mtraceur

3

Burada, neden tls'in iyi olduğu hakkında çok fazla tartışma var - ama orijinal yazıdaki gibi asla sorulmadı.

Maxthon 2 soru sordu:

1) neden rasgele, adlandırılmamış bir sitenin http ve https sunumlarını korumaya karar verdiğini

2) Maxthon’a http isteklerine yalnızca 301 yanıt veren olumsuz bir etkisi var mı?

İlk soruya gelince, sağlayıcıların neden http ve https sitelerini tutmayı seçtiklerini bilmiyoruz. Bunun birçok nedeni olabilir. Uyumluluk, dağıtılmış önbellekleme ve jeo-politik erişilebilirlik ile ilgili bazı ipuçlarına ek olarak, içerik entegrasyonu ve güvensiz içerikle ilgili çirkin tarayıcı mesajlarından kaçınılması da dikkate alınmaktadır. Alvaro'nun da belirttiği gibi, TLS güvenlik açısından buzdağının sadece görünen kısmı.

İkinci soru ise cevaplıdır. Sitenizin herhangi bir bölümünü sitenizin http üzerinden güvenli bir şekilde çalıştırılması için https gerektirdiğinde ortaya çıkarmak, saldırılar için sömürülebilir bir vektör sağlar. Ancak, trafiğin sitenizdeki 80 numaralı bağlantı noktasına yanlış yönlendirildiği ve nedeninin düzeltildiğini belirlemek için bu durumu korumanın bir anlamı vardır. Yani, hem olumsuz bir etki hem de olumlu bir etki için fırsat vardır, net sonuç, işinizi yönetici olarak yapıp yapmadığınıza bağlıdır.

Sysadmin1138, https’nin seo sıralamasını etkilediğini söylüyor. Google sıralamaları etkilediğini söylese de, gördüğüm tek güvenilir çalışma aradaki farkın küçük olduğunu gösteriyor. Bu, daha üst sıradaki sitelerin https varlığına sahip olma olasılığının daha yüksek olması nedeniyle bir https varlığının bu nedenle sıralamayı iyileştirdiğini iddia etmenin daha iyi olduğunu bilmesi gereken kişilerce yardımcı olmaz .

— symcbean
kaynak

1

Geçmişte HTTPS yerine HTTP kullanmak zorunda kaldım, çünkü <embed>başka yerlerden kendilerine HTTP üzerinden sunulan sayfaları istedim , aksi halde işe yaramayacaklardı.

— Algy Taylor
kaynak

Sunucunuzu, bir SSL sürümünün proxy'sini tersine çevirmek için kullanabilirsiniz.

— Maxthon Chan

1

Bu değil iyi o kötü / kırık / güvensiz müşterimiz var, ancak mevcut yoluyla kaynaklara erişen otomatik işlemler varsa gelir olarak, nedeni http://URL'ler, bu hatta bazıları örneğin (https desteklemez mümkündür busybox wget, gelmez ki TLS'nin dahili olarak desteklenmesi yok ve bir süre önce openssl alt süreci aracılığıyla ekleniyor) ve izleyemedikleri bir https URL'sine yönlendirmeleri istenirse kırılır.

Bilinmeyen (veya bilinen-eski) Kullanıcı-Ajan dizgilerinin yönlendirilmemelerini engellemek için yönlendirme kuralını yazarak ve gerçek tarayıcıların tüm faydalanabilmeleri için içeriğe http üzerinden erişmelerine izin vermek için bu olasılıkla uğraşmak isterim. https / hsts zorla.

— R ..
kaynak

1

Bana kaç yıl önce bakımlı herhangi bir aracın (örneğin, wget) HTTPS'yi desteklemediğini hatırlatmak ister misiniz?

— Oleg V. Volkov

@ OlegV.Volkov: Cevabımdaki busybox kelimesini özlediğini düşünüyorum.

— R. ..

Kontrol ettim - iyi, şimdi anlıyorum. Neden anlamıyorum o zaman lanet olası şeyi inşa edemiyorum ve daha sonra inşa araçlarını paketlemiyoruz ama her neyse. Geri dönünce, insanların soyulması ya da modası geçmiş araçlarla sınırlandırıldığı ve düz HTTP olması iyi olacağı zaman bazı olayları da hatırladım. Kapakları düzeltebilir misiniz, böylece düzenleme sonrasında da oylamayı geri alabilir miyim?

— Oleg V. Volkov

1

Bir web sitesinde HTTPS yerine HTTP kullanmanın çok az iyi nedeni vardır . Web siteniz herhangi bir işlem gerçekleştiriyorsa veya herhangi bir hassas veya kişisel veriyi saklıyorsa, söz konusu verilerin güvenli olmasını istiyorsanız, HTTPS kullanmanız gerekir. HTTPS'yi zorlamamak için görmemizin tek iyi nedeni, web sitenizin HTTPS önbelleğe alma ile çalışmadığı için önbelleğe almaya dayanmasıdır. Ancak, web sitenizin güvenliğini sağlamak için performanstan biraz ödün vermeniz genellikle faydalı olacaktır. Müşterilerinizin HTTPS'yi desteklememesi de mümkündür, ancak gerçekten, 2017'de alması gerekir.

— Ken
kaynak