大規模なコンテンツ専用サイトがあるとしましょう。ログインもログアウトも、ユーザー名も、メールアドレスも、安全なエリアも、サイトの秘密もない、n。人々はサイトに来て、ページからページに移動してコンテンツを見るだけです。
GoogleからのSEOのわずかな隆起(非常にわずか、私が読んだものから)に加えて、HTTPS経由でサイトを強制的にロードする利点はありますか?
HTTPSは単に secrecy を提供するだけではありません(その理由はまだありますが、値を疑っています) authenticity 、これは常に価値があります。それがなければ、悪意のあるアクセスポイント/ルーター/ ISP /など。ユーザーに表示する前にサイトの任意の部分を書き換えることができます。これには次のものが含まれます。
これらのことからユーザーを保護しないことは無責任です。
「サイトに秘密はない」
...youによる。誰かが安全な接続を望んでいるのは、完璧な理由かもしれません。それは(部分的に)プライバシーを作成します:
私の管理者は、URLを使用して携帯電話で写真サイトを閲覧していることを確認できますが、かわいい猫やハードコアポルノの写真を見ているかどうかはわかりません。それはかなり良いプライバシーだと思います。 「コンテンツ」と「コンテンツ」は、世界のすべての違いを生むことができます。– Agent_L
取るに足らないと思うかもしれませんし、今では大したことではないかもしれませんが、別の時点にあるかもしれません。私と私以外の誰も私がやっていることを正確に知っているべきではないと私は信じています。
それは信頼を生み出します。南京錠を持っていることはセキュリティの兆候であり、ウェブサイト、したがって製品に関するある程度のスキルを意味します。
これにより、たとえばMitM攻撃。セキュリティが向上します。
Let's Encrypt などのイニシアチブを使用すると、はるかに簡単になりますand free、多くの欠点はありません。 SSLが消費するCPUパワーは、ごくわずかです。
HTTP/2 サポート、 Webサイトの読み込み速度を大幅に改善する のために設計された新しいWeb標準を取得します。
ブラウザメーカー 選択済み はHTTPS経由でのみHTTP/2をサポートするため、HTTPSを有効にする(HTTP/2をサポートするサーバー上で)だけでこの速度をアップグレードできます。
( my answer から同様の質問への部分。)
HTTPSは次の2つのことを実現できます。
おそらく、秘密を送信するとき(パスワード、銀行データなど)、HTTPSが必須であることに全員が同意しますが、サイトがそのような秘密を処理しない場合でも、HTTPSの使用が有益である場合がある理由がいくつかあります。
HTTPを使用する場合、盗聴者はWebサイトで訪問者が見るコンテンツを操作できます。例えば:
HTTPSはこれを防ぐことができます。
HTTPを使用すると、盗聴者は、訪問者がアクセスするホスト上のページ/コンテンツを知ることができます。コンテンツ自体は公開されている場合もありますが、特定の人がコンテンツを消費しているという知識は問題になる可能性があります。
もちろん、これはあなたのコンテンツの性質に依存しますが、あなたにとって無害なコンテンツと思われるものは、他の関係者によって異なって解釈されます。
後悔するよりも安全である方が良い。 HTTPSはこれを防ぐことができます。
それは、あなたがあなたのサイトを訪問していると思わせる中間者攻撃を防ぎますが、実際には別のページであり、あなたから情報を得ようとするかもしれません。データは暗号化されているため、攻撃者が表示されているとおりにページを操作することも難しくなります。
SSL証明書が必要なため、少なくともサイトの所有者であることを確認し、少なくとも本人であることを確認する必要があります。
Hitwiseのようなマーケティング会社は、SSLを使用しない場合、ISPに関する支払いをしてサイトに関するデータを収集します。あなたのサイトに関するデータが収集されますが、競合他社にそれを知らせることはできません。
そして、すべての答えにもう1つだけ追加するために、レイテンシーについて説明します。
クライアントからサーバーへのHTTPレイテンシを低くすることは、高速で読み込みの速いWebサイトを作成するために重要です。
TCP/IPのみに3ウェイハンドシェイクがあります(TCP上のプレーンHTTPの初期接続セットアップには3パケットが必要です)。 SSL/TLSを使用すると、接続のセットアップがより複雑になります。つまり、新しいHTTPS接続のレイテンシはプレーンテキストHTTPよりも避けられないほど長くなります。
HTTPの問題は、安全でないことです。したがって、機密データがある場合は、何らかのセキュリティが必要です。 「https」で始まるWebブラウザに何かを入力すると、トラフィックを保護するために暗号化層を使用するようブラウザに要求します。これにより、盗聴者に対する合理的な保護が提供されますが、問題はそれが遅くなることです。トラフィックを暗号化するため、計算が必要になり、時間が長くなります。これは、システムを適切に設計しないと、ユーザーにとってWebサイトが遅くなることを意味します。
結論:
大規模なコンテンツ専用サイトがあります。ログインもログアウトも、ユーザー名も、メールアドレスも、セキュリティで保護された領域も、サイトの秘密も、,はありません。人々はサイトに来て、ページからページに移動してコンテンツを見るだけです。
この場合、SSLはまったく使用しません。クリックして1秒で開くページが欲しいです。それは、ユーザーエクスペリエンスからです。あなたが望むようにします、私は私が作るすべてに証明書を置きません。この特定のケースでは、まったく使用しません。
他の人が言及した利点に加えて、Chromeを使用する訪問者を気にしない限り、SSLに切り替える理由が1つあります-Chromeの新しいバージョン( HTTPSを使用していないすべてのサイトについて、デフォルトで年末には警告が表示されます(これにより、サイトからユーザーが追い出されます)。
// EDIT:
ここにさらに2つの詳細な記事へのリンクがありますが、機能を公式に導入する予定のときに読んだ記事は見つかりません。
http://www.pandasecurity.com/mediacenter/security/websites-that-arent-using-https/
他の回答では、HTTPSの利点について説明しました。ユーザーはHTTPSを使用することを強制するでしょうか? 2つの理由:
簡単な答えは、-そうでない正当な理由はありませんです。過去には、絶対に必要な場合にのみSSLを使用することについての議論がありました(たとえば、支払いの詳細を収集するeコマースサイト)。
これらは主に、SSL証明書のインストール手順、コスト、Webサーバーの追加負荷、およびネットワークの制限に関係していました-当時はブロードバンドなどを持っていなかったためです。これらの理由は2016年には当てはまりません。
SEOに関しては、ほとんどの検索エンジンの目標はユーザーに最高の結果を提供することであり、これはユーザーが閲覧しているサイトへの安全な接続を提供することで実現できることを知っています。この点で、検索エンジンは、サイトに「表示」または「収集」のいずれかの「機密」データがあるかどうかを気にしません。サイトがHTTPS経由で提供されている場合、認証と暗号化の潜在的なリスクが大幅に最小限に抑えられるため、サイトはHTTPSのない同等のサイトよりも「優れている」と見なされます。
基本的に、実装は非常にシンプルで簡単であり、最近ではベストプラクティスと見なされています。 Web開発者として、私はSSL証明書をインストールし、HTTPS(.htaccessまたは同等のものを使用して非常に簡単)を介してすべての要求を、構築するサイトまたはWebアプリケーションの標準部分にすることを検討しています。
他の回答に加えて、ブラウザは(RFC 2119のように)User-Agent
ヘッダーを送信する必要があります。ユーザーが実際のUser-Agent
を送信する場合、ユーザーが使用しているプラットフォームに関する十分な情報を提供します。 EveがAliceによるリクエストを傍受でき、Aliceが実際のUser-Agent
を送信すると、EveはAliceがEveのサーバーに接続せずにAliceが使用するプラットフォームを認識します。このような知識があれば、アリスのコンピューターにハッキングするのが簡単になります。
メインドメイン(mysite.com)とそのサブドメイン(play.mysite.comおよびtest.mysite.com)を保護するには、2つのオプションがあります。 SSLは、eコマース、金融取引またはログイン資格情報がWebサイトで共有される支払い商人サイトだけのものではありません。コンテンツベースのWebサイトでも同様に重要です。攻撃者は常にプレーンなWebサイトまたはWebサイトの抜け穴を検索します。 SSLはセキュリティを提供するだけでなく、Webサイトの認証も行います。コンテンツベースのウェブサイトでSSLを使用する主な利点は、
サイトのコンテンツを変更できる中間者攻撃を回避できます。
その上、あなたのウェブサイトには、訪問者がウェブサイトと共有する場合に情報が保護されることを通知する信頼性があります。
彼らはウェブサイトの真正性についての保証を得ます。
さらに、WebサイトでSSLを使用すると、悪意のある広告、エクスプロイト、不要なウィジェット、ソフトウェアの交換、およびWebページへの害がWebサイトから注入されなくなります。
SSL証明書は、保証のために任意のWebページに配置できる静的なサイトシールを提供し、顧客は、シールをクリックして、インストールされたSSL証明書の詳細を知ることができます。