it-swarm.com.de

Was ist der Vorteil, wenn eine Site gezwungen wird, über SSL (HTTPS) zu laden?

Nehmen wir an, ich habe eine große Nur-Inhalt-Site. Kein Anmelden oder Abmelden, keine Benutzernamen, keine E-Mail-Adressen, kein sicherer Bereich, nichts Geheimnisvolles auf der Site, nada. Die Leute kommen einfach auf die Website und gehen von Seite zu Seite und schauen sich den Inhalt an.

Abgesehen von einer leichten Beeinträchtigung der Suchmaschinenoptimierung durch Google (sehr geringfügig, nach allem, was ich gelesen habe), hat es einen Vorteil, die Website zum Laden über HTTPS zu zwingen?

55
Eric

HTTPS bietet nicht nur Geheimhaltung (von der Sie den Wert bezweifeln, obwohl es noch gute Gründe dafür gibt), sondern auch Authentizität , die immer von Wert ist. Ohne diesen kann ein böswilliger Zugangspunkt/Router/ISP/etc. Sie können jeden Teil Ihrer Website neu schreiben, bevor Sie sie dem Benutzer anzeigen. Dies könnte Folgendes umfassen:

  • injizieren von Anzeigen für Ihre Konkurrenten
  • anzeigen oder ärgerliche Widgets einfügen, die Ihre Website schlecht aussehen lassen und Ihrem Ruf schaden
  • injizieren von Exploits, um Drive-by-Downloads von Malware auf den Computer des Besuchers durchzuführen. Dieser macht Sie dann (zu Recht!) dafür verantwortlich
  • ersetzen von Software-Downloads von Ihrer Website durch solche, die Malware enthalten
  • verringern Sie die Qualität Ihrer Bilder
  • entfernen von Teilen Ihrer Website, die Sie nicht sehen sollen, z. Dinge, die mit ihren eigenen Diensten konkurrieren oder sie in einem schlechten Licht darstellen
  • usw.

Das Versäumnis, Ihre Benutzer vor diesen Dingen zu schützen, ist unverantwortlich.

84
R..

"nichts geheimes auf der Website"

... Nach Sie . Es könnte einen guten Grund dafür geben, dass jemand eine sichere Verbindung wünscht. Es schafft (teilweise) Privatsphäre:

Mein Administrator kann sehen, dass ich über eine URL auf einer Bilderseite meines Telefons surfe, aber er kann nicht sagen, ob ich Bilder von süßen Katzen oder Hardcore-Pornos ansehe. Ich würde sagen, das ist verdammt gute Privatsphäre. "a content" und "the content" können den Unterschied in der Welt ausmachen. - Agent_L

Man könnte meinen, es sei unbedeutend, oder vielleicht ist es jetzt keine große Sache, aber es könnte zu einem anderen Zeitpunkt sein. Ich bin fest davon überzeugt, dass niemand außer mir und der Website genau wissen sollte, was ich tue.

Es schafft Vertrauen. Das Vorhängeschloss ist ein Zeichen der Sicherheit und kann ein gewisses Maß an Kompetenz in Bezug auf die Website und damit auf Ihre Produkte bedeuten.

Sie sind weniger ein Ziel für z. MitM-Angriffe. Sicherheit steigt.

Mit Initiativen wie Let's Encrypt , die es viel einfacher machen und kostenlos gibt es nicht viele Nachteile. Die von SSL beanspruchte CPU-Leistung ist heutzutage vernachlässigbar.

25
Martijn

Sie erhalten HTTP/2 Unterstützung, den neuen Webstandard, der entwickelt wurde, um die Ladegeschwindigkeit der Website erheblich zu verbessern .

Da Browser-Hersteller ausgewählt haben , um HTTP/2 nur über HTTPS zu unterstützen, ist die Aktivierung von HTTPS (auf einem Server, der HTTP/2 unterstützt) die einzige Möglichkeit, um dieses Geschwindigkeits-Upgrade zu erhalten.

12
user2428118

(Teile aus meine Antwort zu einer ähnlichen Frage.)


HTTPS kann zwei Dinge erreichen:

  • Authentifizierung . Stellen Sie sicher, dass der Besucher mit dem tatsächlichen Domaininhaber kommuniziert.
  • Verschlüsselung . Stellen Sie sicher, dass nur dieser Domaininhaber und der Besucher ihre Kommunikation lesen können.

Wahrscheinlich sind sich alle einig, dass HTTPS bei der Übermittlung von Geheimnissen (wie Passwörtern, Bankdaten usw.) obligatorisch sein sollte, aber auch wenn Ihre Site solche Geheimnisse nicht verarbeitet, kann die Verwendung von HTTPS in mehreren anderen Fällen von Vorteil sein.

Angreifer können den angeforderten Inhalt nicht manipulieren.

Bei der Verwendung von HTTP können Abhörer den Inhalt manipulieren, den Ihre Besucher auf Ihrer Website sehen. Zum Beispiel:

  • Einbeziehen von Malware in die Software, die Sie zum Download anbieten (oder wenn Sie keine Software-Downloads anbieten, beginnen die Angreifer damit).
  • Einige Ihrer Inhalte zensieren. Ändern Sie Ihre Meinungsäußerungen.
  • Injizieren von Werbung.
  • Ersetzen Sie die Daten Ihres Spendenkontos durch ihre eigenen.

HTTPS kann dies verhindern.

Angreifer können den angeforderten Inhalt nicht lesen.

Bei Verwendung von HTTP können Abhörer erfahren, auf welche Seiten/Inhalte auf Ihrem Host Ihre Besucher zugreifen. Obwohl der Inhalt selbst öffentlich sein kann, kann das Wissen, dass eine bestimmte Person ihn konsumiert, problematisch sein:

  • Es öffnet sich ein Angriffsvektor für Social Engineering .
  • Es verletzt die Privatsphäre.
  • Dies kann zu Überwachung und Bestrafung führen (bis hin zu Inhaftierung, Folter, Tod).

Dies hängt natürlich von der Art Ihres Inhalts ab, aber was für Sie als harmloser Inhalt erscheint, kann von anderen Parteien anders interpretiert werden.

Besser auf Nummer sicher gehen. HTTPS kann dies verhindern.

10
unor

Es verhindert Man-in-the-Middle-Angriffe, die Sie denken lassen, dass Sie Ihre Website besuchen, aber eine Seite anzeigen, die tatsächlich von einer anderen stammt und möglicherweise versucht, Informationen von Ihnen abzurufen. Da die Daten verschlüsselt sind, wird es für einen Angreifer auch schwieriger, die Seite so zu manipulieren, wie Sie sie sehen.

Da Sie ein SSL-Zertifikat benötigen, das bestätigt, dass Sie der Eigentümer der Site sind, und mindestens eine Bestätigung gibt, wer Sie sind.

6
Rob

Marketingfirmen wie Hitwise zahlen ISPs, um Daten über Ihre Site zu sammeln, wenn Sie kein SSL verwenden. Es werden Daten über Ihre Website gesammelt, die Sie Ihren Konkurrenten möglicherweise nicht mitteilen möchten:

  • nutzerdemografie
  • besucherstatistik
  • beliebte seiten
  • suchmaschinen-Schlüsselwörter (obwohl dies mit "nicht angegeben" heutzutage weniger problematisch ist)
3

Und um noch etwas zu allen Antworten hinzuzufügen, werde ich nur über die Latenz sprechen. Weil es so scheint, als hätte hier niemand darüber geschrieben.

Eine niedrige HTTP-Latenzzeit von Client zu Server ist für schnell ladende, reaktionsschnelle Websites von entscheidender Bedeutung.

TCP/IP allein verfügt über einen 3-Wege-Handshake (der anfängliche Verbindungsaufbau für einfaches HTTP über TCP erfordert 3 Pakete). Wenn SSL/TLS verwendet wird, ist der Verbindungsaufbau aufwändiger, was bedeutet, dass die Latenz für neue HTTPS-Verbindungen unvermeidlich höher ist als für HTTP im Nur-Text-Format.

Das Problem mit HTTP ist, dass es nicht sicher ist. Wenn Sie also vertrauliche Daten haben, benötigen Sie irgendeine Form von Sicherheit. Wenn Sie etwas in Ihren Webbrowser eingeben, das mit "https" beginnt, bitten Sie Ihren Browser, eine Verschlüsselungsebene zu verwenden, um den Datenverkehr zu schützen. Dies bietet einen angemessenen Schutz gegen Lauschangriffe, das Problem ist jedoch, dass es langsamer ist. Da wir unseren Datenverkehr verschlüsseln möchten, sind einige Berechnungen erforderlich, die die Zeit verlängern. Dies bedeutet, dass Ihre Website für Benutzer träge erscheint, wenn Sie Ihr System nicht richtig gestalten.

Schlussfolgern:

Ich habe eine große Nur-Inhalt-Site. Kein Anmelden oder Abmelden, keine Benutzernamen, keine E-Mail-Adressen, kein sicherer Bereich, nichts Geheimnisvolles auf der Site, nada. Die Leute kommen einfach auf die Website und gehen von Seite zu Seite und schauen sich den Inhalt an.

In diesem Fall verwende ich kein SSL. Ich möchte meine Seite haben, wenn Sie darauf klicken, dass sie in einer Sekunde geöffnet wird. Das kommt aus der Benutzererfahrung. Sie tun, was Sie wollen, ich lege einfach keine Zertifikate auf alles, was ich mache. In diesem speziellen Fall würde ich es überhaupt nicht verwenden.

3
Josip Ivic

Neben den von anderen erwähnten Vorteilen gibt es einen Grund, warum Sie zu SSL wechseln, es sei denn, Ihre Besucher, die Chrome verwenden, interessieren Sie nicht - die neuen Versionen von Chrome (ab Soweit ich mich erinnere, wird am Jahresende für alle Websites, die kein HTTPS verwenden, standardmäßig eine Warnung angezeigt (die Benutzer von Ihrer Website vertreibt).

// EDIT:

Hier sind Links zu zwei detaillierteren Artikeln, von denen ich anscheinend keinen gefunden habe, über den ich gelesen habe, als sie die Funktion offiziell einführen wollen:

https://motherboard.vice.com/read/google-will-soon-shame-all-websites-that-are-uncrypted-chrome-https

http://www.pandasecurity.com/mediacenter/security/websites-that-arent-using-https/

1
Sledge Hammer

Andere Antworten sprachen über die Vorteile von HTTPS. Wäre ein Benutzer gezwungen , HTTPS zu verwenden? Aus zwei Gründen:

  • Wenn Sie Benutzern die Option geben, HTTPS nicht zu verwenden, wird dies wahrscheinlich nicht der Fall sein, zumal die meisten Browser standardmäßig http: // und nicht https: // verwenden, wenn Sie eine Domäne in die Adressleiste eingeben.
  • Indem Sie sowohl eine sichere als auch eine unsichere Version implementieren, erhöhen Sie die Angriffsfläche der Verbindung. Sie geben Angreifern die Möglichkeit, einen Downgrade-Angriff auszuführen, auch wenn Sie glauben, dass Sie die sichere Version verwenden.
  • Wenn Sie jede http: // -URL auf die entsprechende https: // -URL umleiten, wird dem Administrator des Servers und den Suchmaschinen das Leben erleichtert. Niemand muss sich Gedanken darüber machen, ob http: // und https: // gleichbedeutend sind oder auf ganz andere Dinge verweisen sollen. Durch die Umleitung der URLs wird jedem klar, welche URLs verwendet werden sollen.
1
Flimm

Die einfache Antwort lautet: es gibt keinen guten Grund, dies nicht zu tun. In der Vergangenheit gab es Argumente dafür, SSL nur zu verwenden, wenn dies unbedingt erforderlich ist (z. B. auf E-Commerce-Websites, die Zahlungsdetails erfassen).

Dies hing größtenteils mit dem Installationsverfahren für SSL-Zertifikate, den Kosten, der zusätzlichen Belastung des Webservers und den Netzwerkbeschränkungen zusammen - zu einer Zeit, als die Menschen kein Breitband usw. hatten. Keiner dieser Gründe traf im Jahr 2016 wirklich zu.

In Bezug auf SEO wissen wir, dass es das Ziel der meisten Suchmaschinen ist, die besten Ergebnisse für ihre Benutzer zu erzielen. Dies kann erreicht werden, indem ihnen eine sichere Verbindung zu der Site geboten wird, die sie gerade besuchen. In dieser Hinsicht ist es den Suchmaschinen egal, ob auf der Website "sensible" Daten vorhanden sind (die entweder angezeigt oder gesammelt werden). Wenn die Site über HTTPS bereitgestellt wird, werden potenzielle Risiken für Authentifizierung und Verschlüsselung erheblich minimiert, sodass die Site als "besser" als die entsprechende Site ohne HTTPS eingestuft wird.

Im Grunde ist es so einfach und unkompliziert zu implementieren, dass es heutzutage nur noch als Best Practice gilt. Als Webentwickler denke ich nur darüber nach, ein SSL-Zertifikat zu installieren und dann alle Anforderungen über HTTPS (sehr einfach mit .htaccess oder einem Äquivalent) als Standardbestandteil einer von mir erstellten Site oder Webanwendung zu erzwingen.

1
Andy

Zusätzlich zu den anderen Antworten sollten Browser (wie in RFC 2119) den Header User-Agent senden. Es bietet genügend Informationen darüber, welche Plattform ein Benutzer verwendet, wenn er den aktuellen User-Agent sendet. Wenn Eve eine Anfrage von Alice abhören kann und Alice den aktuellen User-Agent sendet, weiß Eve, welche Plattform Alice verwendet, ohne dass Alice eine Verbindung zum Server von Eve herstellt. Mit solchem ​​Wissen wird es einfacher sein, sich in Alices Computer zu hacken.

1
v7d8dpo4

Sie haben zwei Möglichkeiten, um Ihre Hauptdomain (mysite.com) und deren Unterdomains (play.mysite.com und test.mysite.com) zu sichern. SSL ist nicht nur für E-Commerce- und Zahlungshändler-Websites gedacht, auf denen Finanztransaktionen oder Anmeldeinformationen über die Website ausgetauscht werden. Dies ist ebenso wichtig für inhaltsbasierte Websites. Angreifer suchen immer nach einer einfachen HTTP-Website oder einer Lücke in der Website. SSL bietet nicht nur Sicherheit, sondern authentifiziert auch Ihre Website. Der Hauptvorteil von SSL auf inhaltsbasierten Websites besteht darin, dass

  • Sie können Man-in-Middle-Angriffe vermeiden, die den Inhalt der Website verändern können.

  • Außerdem verfügt Ihre Website über eine Authentizität, die Besucher darüber informiert, dass ihre Informationen geschützt sind, wenn sie mit der Website geteilt werden.

  • Sie erhalten Gewissheit über die Echtheit der Website.

  • Darüber hinaus ist Ihre Website frei von schädlichen Werbeanzeigen, Exploits, unerwünschten Widgets, Softwareaustausch und Schäden an Webseiten, sobald Sie SSL auf Ihrer Website installiert haben.

  • SSL-Zertifikat bietet statisches Site-Siegel, das zur Sicherheit auf jeder Webseite platziert werden kann, und Kunden können auf das Siegel klicken, um die Details des installierten SSL-Zertifikats zu erfahren.

1
Jason Parms