HTTPS üç şeyi başarabilir:
- Özgünlük . Gerçek etki alanı sahibiyle iletişim kurduğunuzdan emin olun.
- Gizlilik . Yalnızca bu etki alanı sahibinin ve siz iletişimi okuyabildiğinizden emin olun.
- Bütünlüğü . İçeriğin başkası tarafından değiştirilmediğinden emin olmak.
Muhtemelen herkes, sırları iletirken (şifreler, bankacılık verileri vb.) HTTPS'nin zorunlu olması gerektiğini kabul eder.
Ancak HTTPS kullanımının ve neden yararlı olabileceği birkaç başka durum daha vardır:
Saldırganlar istenen içeriğe müdahale edemezler.
HTTP kullanırken, gizli çalışanlar ziyaretçilerinizin web sitenizde gördükleri içeriği değiştirebilir. Örneğin:
- İndirmek için sunduğunuz yazılıma kötü amaçlı yazılım dahil.
- İçeriğinizin bir kısmını sansürleme. Fikir ifadelerinizi değiştirme.
- Reklamları enjekte etmek.
- Bağış hesabınızın verilerini kendisiyle değiştirmek.
Elbette bu, kullanıcılarınız tarafından gönderilen içerik için de geçerlidir, örneğin wiki düzenlemeleri. Ancak, kullanıcılarınız anonim ise, saldırgan bir kullanıcı olmayı "simüle edebilir" (saldırgan bir bot olmadığı ve etkili bir CAPTCHA engeli olmadığı sürece).
Saldırganlar istenen içeriği okuyamıyor.
HTTP kullanırken, gizli dinleme yapanlar, ana makinenizde ziyaretçilerinizin hangi sayfalara / içeriğe eriştiğini bilir. İçeriğin kamuya açık olmasına rağmen, belirli bir kişinin onu tükettiği bilgisi sorunludur:
- Sosyal mühendislik için bir saldırı vektörü açar .
- Gizliliği ihlal ediyor.
- Sürveyans ve cezaya yol açabilir (hapis cezası, işkence, ölüm hakkı).
Elbette bu, kullanıcılarınız tarafından gönderilen içerikler için de geçerlidir, örneğin bir iletişim formu yoluyla gönderilen postalar için.
Bunların hepsi, HTTP’ye ek olarak HTTPS’yi sunmak, yalnızca kullandıklarını kontrol eden (veya yerel olarak uygulayan, örneğin HSTS ) kullanıcıları koruyacaktır . Saldırganlar, diğer tüm ziyaretçileri (savunmasız) HTTP değişkenini kullanmaya zorlayabilir.
Bu nedenle, HTTPS sunmak istediğiniz sonucuna varırsanız, uygulamayı zorlamayı düşünebilirsiniz (HTTP tarafından HTTPS'ye sunucu tarafı yönlendirme, HSTS başlığını gönderin).