Bir siteyi SSL (HTTPS) üzerinden yüklemeye zorlamanın faydası nedir?


55

Diyelim ki sadece içerikli büyük bir sitem var; giriş veya çıkış yok, kullanıcı adı yok, e-posta adresi yok, güvenli alan yok, sitede gizli hiçbir şey yok, nada. İnsanlar siteye girip sayfadan sayfaya gidip içeriğe bakıyorlar.

Google’dan gelen SEO’da hafif bir kırılmanın yanı sıra ( okuduklarımdan çok az), siteyi HTTPS üzerinden yüklemeye zorlamanın bir faydası var mı?


1
Bunun şimdi Sitede SSL Kullanmayı Zorla'nın bir kopyası olduğuna inanmıyorum ? . Her ne kadar bazı cevaplar benzer olsa da, bu soru bu soru olmasa da SSL kullanıp kullanmama konusunda tavsiye istiyor. Herhangi bir şey varsa, diğer soru kanaatine dayanarak kapatılmalıdır.
Stephen Ostermiller

4
Bunu tersine çevirelim: SSL kullanmamanın faydası nedir? Bildiğim hiçbir şey yok. Tabii ki, bir tanesi olacak ve (diğer her şeyle karşılaştırmalı olarak) hiçbir zaman almayacak olan uygulama. Öyleyse, eğer bir yaklaşımın olumsuz tarafları ve bazı tarafları olmazsa, diğerinin de tarafları yok ve (size göre) olumsuz tarafları yoksa, o zaman ... neden ikincisine sadık kaldınız?
VLAZ

3
@Vld - performans. Bu günlerde, genellikle sitenin ilk yükleme zamanını 1/2 saniye hedefiyle alt ikinci performans değerlerine göre optimize etmeye çalışıyoruz. Biraz yavaş bir internet bağlantısında (100ms civarında paket gecikmesi), SSL anlaşması kolayca 300ms sürebilir ve bu da sizi bir performans hedefine götürebilir. Mobil kullanıcılar için daha da kötüsü: mobil ağların daha uzun paket gecikmeleri var ve sertifika doğrulaması için işlem süresi daha yavaş bir telefonda kolayca birkaç yüz ms daha olabilir.
Jules

6
Mobil taşıyıcılar her zaman şifrelenmemiş HTTP trafiğine müdahale eder, ister resim (aşırı) sıkıştırma, ister kötü Javascript veya daha agresif önbellek kontrolü başlıkları enjekte eder. HTTPS tüm bu saçmalıkları önleyecektir.
André Borie

2
@Josef Doğru değil. HTTP / 2 de şifrelenmemiş bağlantılar üzerinden çalışır. Hiçbir tarayıcı bunu yapamaz, ancak bu tarayıcı sınırlamasıdır, HTTP / 2 değil. "HTTP / 2'nin yalnızca TLS üzerinde çalıştığını" söylemek, "X teknolojisinin işe yaramadığı için Internet Explorer kullanmıyor" demek gibi bir şey. Bak bizi nereye götürdü?
Agent_L

Yanıtlar:


84

HTTPS sadece gizlilik sağlamaz (değerinden şüphelendiğiniz, ancak bunun için hala iyi nedenler olmasına rağmen) aynı zamanda her zaman değerli olan özgünlük . Onsuz, kötü amaçlı bir erişim noktası / yönlendirici / ISS / etc. Sitenizi herhangi bir bölümünü kullanıcıya göstermeden önce yeniden yazabilir. Bu şunları içerebilir:

  • rakiplerinize reklam enjekte etmek
  • sitenizi kötü gösteren ve itibarınıza zarar veren reklamlar veya rahatsız edici gereçler enjekte etmek
  • ziyaretçinin bilgisayarına kötü amaçlı yazılım indirmeleri gerçekleştirmek için suistimalleri enjekte etmek, sonra (haklı olarak!) bunun için sizi suçluyor
  • Sitenizdeki yazılım indirmelerini, kötü amaçlı yazılım paketine sahip olanlarla değiştirmek
  • Resimlerinizin kalitesini düşürme
  • Sitenizin, görmelerini istemediğiniz kısımlarını kaldırmak, örneğin kendi servisleriyle rekabet eden veya onları kötü bir şekilde resimleyen şeyler
  • vb.

Kullanıcılarınızı bunlardan koruyamamak, sorumsuzdur.


27
@Mike Gerçekten değil. Bunu yapmak için bir sürü kullanıma hazır yazılım var ve hepsi dekompresyon ve yeniden sıkıştırmayı iyi yapıyor.
ceejayoz

3
@Mike Gerçekten değil. Tam bir yeniden yazma proxy'si tüm trafiğin kodunu çözebilir ve yeni şeyler istediği her şeyi enjekte edebilir.
Nayuki

10
Bilginize, eğer örneklerimin hepsi aslında vahşi doğada görülmediyse.
R. ..

2
@DavidMulder ilk yorumunuz " de merkezileştirme [...] iyi bir şey değil"
jiggunjer

3
Lütfen bu cevap hakkındaki yorumları ilgisiz konular hakkında konuyla ilgili olmayan bir bisiklete dönüştürmeyebilir miyiz?
R. ..

25

"sitede gizli hiçbir şey yok"

... size göre . Birinin güvenli bir bağlantı kurmak istemesinin çok iyi bir nedeni olabilir. Bu (kısmen) gizlilik yaratır:

Yöneticim telefonumdaki bazı resim sitelerini url aracılığıyla taradığımı görebiliyor, ancak sevimli kedilerin veya hardcore porno resimlerini izliyor muyum, anlayamıyor. Bunun oldukça iyi bir mahremiyet olduğunu söyleyebilirim. "içerik" ve "içerik" dünyadaki tüm farkı yaratabilir. - Ajan_L

Bunun önemsiz olduğunu düşünebilirsiniz, ya da belki şimdi önemli bir şey değil, zamanda başka bir noktada olabilir. Ben ve benden başka kimsenin ne yaptığımı tam olarak bilmemesi gerektiğine inanan biriyim.

Güven yaratır. Asma kilit sahibi olmak bir güvenlik işaretidir ve web sitesi ve dolayısıyla ürünlerinizle ilgili bir dereceye kadar beceri olduğunu gösterir.

MitM saldırıları için sizi daha az hedef yapar. Güvenlik artar.

Çok daha kolay ve ücretsiz kılan Let's Encrypt gibi girişimlerle pek dezavantaj yok. SSL tarafından alınan CPU gücü bugünlerde önemsizdir.


11
Maalesef SSL, kurumsal BT’yi, İSS’nizi veya kamuya açık kafe wifi üzerindeki kişilerin hangi siteleri ziyaret ettiğinizi bilmelerini engellemez. DNS aramaları hala net olarak yapıldı . Onlar içeriği, ne de tam URL'yi göremiyorum, ne de hatta bir web tarayıcı kullanıyorsanız, onlar ederken olabilir Eğer (penisland.com erişmekte olduğunuzu bakın hangi elbette, kalem tutkunları için bir site, ancak yanlış yorumlanmış olabilir). Bir VPN veya SOCKS5 proxy kullanmak , DNS sorgularınızı koruyacaktır.
Schwern,

3
@Martijn: Sunucu Adı Göstergesinde (tüm modern tarayıcıların desteklediği), web sitesinin ana bilgisayar adı HTTPS anlaşmasının bir parçası olarak açık bir şekilde gönderilir. Bu sadece bir sidechannel saldırısı meselesi değildir ve örneğin DNSsec ile hafifletilemez.
Kevin,

3
@Schwern DNS araması ve SNI ve sunucunun sertifikası açık olduğundan HTTPS'nin ana bilgisayar adını korumadığı argümanını asla anlamadım. Elbette belirtildiği gibi doğru, ama düz metin HTTP, bu konuda daha iyi değil!
bir CVn

5
@Schwern Yöneticim telefonumda tumblr taradığımı görebiliyor, ancak sevimli kedi veya hardcore porno resimlerini izleyip izlemediğimi anlayamıyor. Bunun oldukça iyi bir mahremiyet olduğunu söyleyebilirim. "içerik" ve "içerik" dünyadaki tüm farkı yaratabilir.
Ajan_L

2
@Agent_L Hayır, bu iyi bir tavsiye bile değil. https://penisland.tumblr.com/Tarayıcınıza giderseniz penisland.tumblr.com, DNS sorgularınızı korumanız sürece, ağ yöneticisinin görebileceği bir DNS isteği yapar . Ardından tarayıcınızın, daha fazla DNS isteği oluşturan çeşitli alanlardan görseller, Javascript, CSS ve reklamları alması gerekir. Herhangi bir alandan olabilirler. Denedim az sayıda porno Tumblr etki alanları açık bir şey yok, Tumblr evde resim ve videoları ev sahipliği yapma eğilimindedir, ancak gizlilik için buna güvenemezsiniz.
Schwern,

12

Web sitesi yükleme hızlarını önemli ölçüde artırmak için tasarlanmış yeni web standardı HTTP / 2 desteği alıyorsunuz .

Tarayıcı üreticileri HTTP / 2'yi yalnızca HTTPS üzerinden desteklemeyi seçtiklerinden , HTTPS'yi etkinleştirmek (HTTP / 2'yi destekleyen bir sunucuda) bu hız yükseltmesini elde etmenin tek yoludur.


1
Bu oldukça büyük ve daha fazla sinirli olması gerekiyor. HTTPS'yi yüklemek için yalnızca çoğu yöneticinin geri alabileceği bir iş durumu yapar.
Dewi Morgan

10

(Parçalar alınan Cevabıma benzer bir soruya.)


HTTPS iki şeyi başarabilir:

  • Kimlik doğrulama . Ziyaretçinin gerçek etki alanı sahibiyle iletişim kurduğundan emin olunması.
  • Şifreleme . Yalnızca bu etki alanı sahibinin ve ziyaretçinin iletişimini okuyabildiğinden emin olmak.

Muhtemelen herkes, sırları iletirken HTTPS'nin zorunlu olması gerektiğini kabul eder (şifreler, bankacılık verileri vb. Gibi), ancak siteniz bu sırları işleme koymasa bile, HTTPS kullanımının neden ve neden yararlı olabileceği ile ilgili başka durumlar da vardır.

Saldırganlar istenen içeriğe müdahale edemezler.

HTTP kullanırken, gizli çalışanlar ziyaretçilerinizin web sitenizde gördükleri içeriği değiştirebilir. Örneğin:

  • İndirmek için sunduğunuz yazılımın içerdiği kötü amaçlı yazılımlar dahil (veya herhangi bir yazılım yüklemesi sunmuyorsanız, saldırganlar bunu yapmaya başlar).
  • İçeriğinizin bir kısmını sansürleme. Fikir ifadelerinizi değiştirme.
  • Reklam enjekte.
  • Bağış hesabınızın verilerini kendisiyle değiştirmek.

HTTPS bunu önleyebilir.

Saldırganlar istenen içeriği okuyamıyor.

HTTP kullanırken, gizli dinleme yapanlar, ana makinenizde ziyaretçilerinizin hangi sayfalara / içeriğe eriştiğini öğrenebilir. İçeriğin kendisi herkese açık olsa da, belirli bir kişinin onu tükettiği bilgisi sorunlu olabilir:

  • Sosyal mühendislik için bir saldırı vektörü açar .
  • Gizliliği ihlal ediyor.
  • Sürveyans ve cezaya yol açabilir (hapis cezası, işkence, ölüm hakkı).

Bu, elbette, içeriğinizin niteliğine bağlıdır, ancak sizin için zararsız içerik olarak görünen şey diğer taraflarca farklı şekilde yorumlanabilir.

Üzülmektense tedbirli olmak iyidir. HTTPS bunu önleyebilir.


1
Nitekim, HTTPS bunu önleyebilir. Bazı durumlarda olmayabilir. Oldukça yeni bir örnek için bkz. Lenovo Superfish .
CVn

@ MichaelKjörling: Evet, bunun farkındayım (bu yüzden "can" ı kullanmaya başladım;) O doğru? Ziyaretçi, hangi CA'lara güvenileceğini önemsemelidir (ve ziyaretçi, özellikle de güvenilecek CA'ların listesine girme iznine sahipse, hangi yazılımı kuracağına dikkat etmelidir).
unor

Aslında; Senin amacına karşı tartışmıyorum, sadece buna ekliyorum!
CVn

6

Orta saldırılardaki insanı sitenizi ziyaret ettiğinizi düşündüren ancak aslında başka bir sayfadan gelen ve sizden bilgi almaya çalışabilecek bir sayfa sunmanızı önler. Veriler şifreli olduğundan, saldırganın sayfayı gördüğünüz gibi değiştirmesini zorlaştırır.

Bir SSL sertifikasına ihtiyacınız olduğundan, en azından kim olduğunuzu doğrulamak için sitenin sahibi olduğunuzu doğrular.


3

Hitwise gibi pazarlama firmaları, SSL kullanmadığınızda siteniz hakkında veri toplamak için ISS’lere ödeme yapar. Sitenizle ilgili veriler toplanır ve rakiplerinizin bilmesini istemeyebilirsiniz:

  • kullanıcı demografisi
  • ziyaretçi istatistikleri
  • popüler sayfalar
  • arama motoru anahtar kelimeleri ("sağlanmadı" olmasına rağmen, bu bugünlerde daha az sorun çıkarmaktadır)

3

Ve sadece tüm cevaplara bir şey daha eklemek için, gecikmeden bahsedeceğim . Çünkü burada kimse bu konuda yazmamış gibi görünüyor.

İstemciden sunucuya düşük bir HTTP gecikme süresi olması, hızlı yüklenen, yanıt veren web siteleri yapmak için çok önemlidir.

Yalnız TCP / IP'de 3 yollu el sıkışma vardır (TCP üzerinden düz HTTP için ilk bağlantı kurulumu 3 paket gerektirir). SSL / TLS kullanıldığında, bağlantı ayarları daha fazla işe yarar, yani yeni HTTPS bağlantılarındaki gecikme, kaçınılmaz olarak düz metin HTTP'den daha yüksektir.

HTTP ile ilgili sorun güvenli olmamasıdır. Bu nedenle, hassas verileriniz varsa, bir tür güvenliğe ihtiyacınız vardır. Web tarayıcınıza “https” ile başlayan bir şey yazdığınızda, tarayıcınızdan trafiği korumak için bir şifreleme katmanı kullanmasını istiyorsunuz. Bu, gizlice dinleyenlere karşı makul bir koruma sağlar, ancak sorun daha yavaş olacağıdır. Trafiğimizi şifrelemek istediğimiz için, zamana ekleyen bazı hesaplamalar olacak. Bu, sisteminizi doğru tasarlamazsanız, web sitenizin kullanıcılar için durgun görüneceği anlamına gelir.

Sonuç olarak:

Yalnızca içerik içeren büyük bir sitem var; giriş veya çıkış yok, kullanıcı adı yok, e-posta adresi yok, güvenli alan yok, sitede gizli hiçbir şey yok, nada. İnsanlar siteye girip sayfadan sayfaya gidip içeriğe bakıyorlar.

Bu durumda, SSL kullanmayacağım. Bir saniyede açılan sayfasını tıkladığınızda sayfamın olmasını istiyorum. Bu kullanıcı deneyiminden. Dilediğin gibi yaparsın, yaptığım her şeye sertifika koymuyorum. Bu özel durumda, hiç kullanmazdım.


IMO, bu, tüm oyları alan kadar doğru bir cevap.
Michael Yaeger

youtube.com/watch?v=e6DUrH56g14 , (veya müşterilerinizin büyük bir kısmı) bir nedenden dolayı HTTP / 2 yapmasanız bile performans etkisini azaltmak için bazı tekniklerden bahseder.
CVn 18

1

Başkalarının bahsettiği avantajların yanı sıra, Chrome'u kullanan ziyaretçilerinizi umursamadıkça sizi SSL'ye geçirecek bir neden var - Chrome'un yeni sürümleri (hatırladığım kadarıyla yılın sonundan başlayarak) HTTPS kullanmayan tüm siteler için varsayılan olarak bir uyarı gösterecektir (kullanıcıları sitenizden uzaklaştıracak).

//DÜZENLE:

İşte iki tane daha ayrıntılı makaleye bağlantılar, ancak özelliği resmen tanıtmayı planladıklarında okuduğum yazıyı bulamıyorum.

https://motherboard.vice.com/read/google-will-soon-shame-all-websites-that-are-unencrypted-chrome-https

http://www.pandasecurity.com/mediacenter/security/websites-that-arent-using-https/


Cevapta verilen iddia için mükemmel bir alıntı değil, ancak her zaman güvenli olmayan olarak işaretleme HTTP .
Bir CVn

1

Basit cevap, yapmamak için iyi bir neden olmadığı . Geçmişte, yalnızca gerekli olduğunda SSL kullanmanın argümanları vardı (örneğin, ödeme ayrıntılarını toplayan e-ticaret sitelerinde).

Bunlar büyük ölçüde SSL sertifikalarının, maliyetin, web sunucusunda ek yükün ve ağ sınırlamalarının kurulum prosedürü ile ilgiliydi - insanların geniş bantlı olmadığı bir zamanda vs.

SEO açısından, çoğu arama motorunun amacının, kullanıcıları için en iyi sonuçları sağlamak olduğunu biliyoruz ve bu, göz attıkları siteye güvenli bir bağlantı sağlayarak yapılabilir. Bu bağlamda, arama motorları sitede "hassas" verilerin olup olmadığına aldırmamaktadır (ya sunulmakta ya da toplanmaktadır); Bu, siteye HTTPS üzerinden sunulduğu takdirde, olası kimlik doğrulama ve şifreleme risklerinin büyük ölçüde en aza indirilmesi durumunda, bu nedenle sitenin HTTPS olmayan eşdeğer siteden "daha iyi" olduğu düşünülür.

Temel olarak, uygulanması çok basit ve anlaşılır, bugünlerde en iyi uygulama olarak görülüyor. Bir web geliştiricisi olarak, sadece bir SSL sertifikası yüklemeyi ve ardından HTTPS üzerinden tüm istekleri (.htaccess veya eşdeğeri kullanmak çok kolay) oluşturduğum herhangi bir sitenin veya web uygulamasının standart bir parçası olmaya zorluyorum.


1

Diğer cevaplara ek olarak, tarayıcılar (RFC 2119'daki gibi) User-Agentbaşlığı göndermelidir . Bir kullanıcının, gerçekleri göndermesi durumunda hangi platformu kullandığı hakkında yeterli bilgi sağlar User-Agent. Eve, Alice tarafından yapılan bir istek üzerine dinlenebiliyorsa ve Alice gerçekleri gönderirse User-Agent, Eve, Alice'in Eve sunucusuyla bağlantı kurmadan hangi platformu kullandığını bilir. Böyle bir bilgiyle Alice'in bilgisayarına sızmak daha kolay olacak.


Bu, Eve'in Alice'in otomobilinin VIN numarasını otomobilin ön camından görebilmesi durumunda, Eve'in Alice'in arabasına girmesini kolaylaştıracağını söylemek, çünkü VIN numarası onun hangi marka ve model otomobilin Alice'in sahibi olduğunu bulmasını sağlar. Elbette, bu bir olasılık, ancak MITM'le hiçbir şey yapmadan aynı bilgiyi elde etmenin bir çok yolu vardır, ağdaki bir yaprak düğümü için Internet arka plan gürültüsünden başka bir şey olarak zar zor kaydedilecek şekilde. Örneğin: Eve (veya belki de Mallory), Alice'e kontrolündeki bir web sayfasına bağlantı gönderebilir. İnsanlar linklere tıklamayı sever.
bir CVn

1

Ana etki alanınızı (mysite.com) ve alt alanlarını (play.mysite.com ve test.mysite.com) korumak için iki seçeneğiniz vardır. SSL sadece e-ticaret için değil, finansal işlemlerin veya giriş bilgilerinin web sitesinde paylaşıldığı ödeme satıcı sitelerinde kullanılmaz. İçerik tabanlı web siteleri için aynı derecede önemlidir. Saldırganlar her zaman web sitesindeki düz HTTP web sitesini veya kaçağı ararlar. SSL yalnızca güvenlik sağlamakla kalmaz, web sitenizi de doğrular. İçeriğe dayalı web sitesinde SSL’ye sahip olmanın asıl yararı,

  • Sitenin içeriğini değiştirebilen ortadaki adam saldırısından kaçınabilirsiniz.

  • Ayrıca, web siteniz, ziyaretçileri web sitesiyle paylaşmaları durumunda bilgilerinin korunacağını bildiren özgünlüğe sahip olacaktır.

  • Web sitesinin doğruluğuna dair güvence alıyorlar.

  • Ayrıca, web siteniz, web sitenizde SSL bulunduğunda kötü amaçlı reklamların, istismarların, istenmeyen gereçlerin, yazılımların değiştirilmesi ve web sayfalarına zarar vermekten arınmış olacaktır.

  • SSL sertifikası, güvence için herhangi bir web sayfasına yerleştirilebilecek statik site mührü sunar ve müşteriler kurulu SSL sertifikasının ayrıntılarını bilmek için mührü tıklatabilir.


1

Diğer cevaplar HTTPS'nin faydalarından bahsetti. Bir kullanıcı HTTPS kullanmaya zorlanır mı? İki nedenden dolayı:

  • Kullanıcılara HTTPS kullanmama seçeneği verirseniz, özellikle tarayıcıların çoğu http: // için varsayılan olduğundan ve adres çubuğuna bir etki alanı yazarken https: // olmadığından, muhtemelen kullanmazlar.
  • Hem güvenli bir sürümü hem de güvenli olmayan bir sürümünü uygulayarak, bağlantının saldırı yüzeyini artırırsınız. Güvenli sürümü kullandığınızı düşünüyor olsanız bile , saldırganlara düşürme saldırısı yapma şansı verirsiniz.
  • Her http: // URL'sini eşdeğer https: // one'a yeniden yönlendirirseniz, sunucunun yöneticisi ve arama motorları için hayatı kolaylaştırır. Hiç kimsenin http: // ve https: //'nin eşdeğer olması veya tamamen farklı şeyleri işaret etmesi anlamına gelmemesi konusunda endişelenmenize gerek yoktur, bir birine diğerine yönlendirilerek URL'lerin ne şekilde kullanılması gerektiği herkese açıktır.
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.