web-dev-qa-db-ja.com

サイトをSSL(HTTPS)経由で強制的にロードすることの利点は何ですか?

大規模なコンテンツ専用サイトがあるとしましょう。ログインもログアウトも、ユーザー名も、メールアドレスも、安全なエリアも、サイトの秘密もない、n。人々はサイトに来て、ページからページに移動してコンテンツを見るだけです。

GoogleからのSEOのわずかな隆起(非常にわずか、私が読んだものから)に加えて、HTTPS経由でサイトを強制的にロードする利点はありますか?

55
Eric

HTTPSは単に secrecy を提供するだけではありません(その理由はまだありますが、値を疑っています) authenticity 、これは常に価値があります。それがなければ、悪意のあるアクセスポイント/ルーター/ ISP /など。ユーザーに表示する前にサイトの任意の部分を書き換えることができます。これには次のものが含まれます。

  • 競合他社に広告を挿入する
  • サイトの見栄えを悪くし、評判を傷つける広告や迷惑なウィジェットを挿入する
  • 訪問者のコンピューターにマルウェアのドライブバイダウンロードを実行するためのエクスプロイトを注入し、訪問者のコンピューターが(間違いなく)発生したことを非難する
  • サイトからダウンロードしたソフトウェアを、マルウェアがバンドルされたものに置き換える
  • 画像の品質を下げる
  • サイトの一部を削除します。たとえば、独自のサービスと競合するもの、またはそれらを悪い光で描写するもの
  • 等.

これらのことからユーザーを保護しないことは無責任です。

84
R..

「サイトに秘密はない」

...youによる。誰かが安全な接続を望んでいるのは、完璧な理由かもしれません。それは(部分的に)プライバシーを作成します:

私の管理者は、URLを使用して携帯電話で写真サイトを閲覧していることを確認できますが、かわいい猫やハードコアポルノの写真を見ているかどうかはわかりません。それはかなり良いプライバシーだと思います。 「コンテンツ」と「コンテンツ」は、世界のすべての違いを生むことができます。Agent_L

取るに足らないと思うかもしれませんし、今では大したことではないかもしれませんが、別の時点にあるかもしれません。私と私以外の誰も私がやっていることを正確に知っているべきではないと私は信じています。

それは信頼を生み出します。南京錠を持っていることはセキュリティの兆候であり、ウェブサイト、したがって製品に関するある程度のスキルを意味します。

これにより、たとえばMitM攻撃。セキュリティが向上します。

Let's Encrypt などのイニシアチブを使用すると、はるかに簡単になりますand free、多くの欠点はありません。 SSLが消費するCPUパワーは、ごくわずかです。

25
Martijn

HTTP/2 サポート、 Webサイトの読み込み速度を大幅に改善する のために設計された新しいWeb標準を取得します。

ブラウザメーカー 選択済み はHTTPS経由でのみHTTP/2をサポートするため、HTTPSを有効にする(HTTP/2をサポートするサーバー上で)だけでこの速度をアップグレードできます。

12
user2428118

my answer から同様の質問への部分。)


HTTPSは次の2つのことを実現できます。

  • 認証。訪問者が実際のドメイン所有者と通信していることを確認します。
  • 暗号化。このドメイン所有者と訪問者のみが通信を読むことができるようにします。

おそらく、秘密を送信するとき(パスワード、銀行データなど)、HTTPSが必須であることに全員が同意しますが、サイトがそのような秘密を処理しない場合でも、HTTPSの使用が有益である場合がある理由がいくつかあります。

攻撃者はリクエストされたコンテンツを改ざんすることはできません。

HTTPを使用する場合、盗聴者はWebサイトで訪問者が見るコンテンツを操作できます。例えば:

  • ダウンロード用に提供するソフトウェアにマルウェアを含めます(または、ソフトウェアのダウンロードを提供しない場合、攻撃者はそうし始めます)。
  • 一部のコンテンツの検閲。意見の表現を変える。
  • 広告を挿入します。
  • 寄付アカウントのデータを自分の寄付アカウントに置き換えます。

HTTPSはこれを防ぐことができます。

攻撃者はリクエストされたコンテンツを読むことができません。

HTTPを使用すると、盗聴者は、訪問者がアクセスするホスト上のページ/コンテンツを知ることができます。コンテンツ自体は公開されている場合もありますが、特定の人がコンテンツを消費しているという知識は問題になる可能性があります。

  • 社会工学 の攻撃ベクトルを開きます。
  • それはプライバシーを侵害します。
  • 監視と処罰に至る可能性があります(投獄、拷問、死に至るまで)。

もちろん、これはあなたのコンテンツの性質に依存しますが、あなたにとって無害なコンテンツと思われるものは、他の関係者によって異なって解釈されます。

後悔するよりも安全である方が良い。 HTTPSはこれを防ぐことができます。

10
unor

それは、あなたがあなたのサイトを訪問していると思わせる中間者攻撃を防ぎますが、実際には別のページであり、あなたから情報を得ようとするかもしれません。データは暗号化されているため、攻撃者が表示されているとおりにページを操作することも難しくなります。

SSL証明書が必要なため、少なくともサイトの所有者であることを確認し、少なくとも本人であることを確認する必要があります。

6
Rob

Hitwiseのようなマーケティング会社は、SSLを使用しない場合、ISPに関する支払いをしてサイトに関するデータを収集します。あなたのサイトに関するデータが収集されますが、競合他社にそれを知らせることはできません。

  • ユーザー層
  • 訪問者の統計
  • 人気のあるページ
  • 検索エンジンのキーワード(「提供されていない」とはいえ、これは最近ではそれほど問題ではありません)
3

そして、すべての答えにもう1つだけ追加するために、レイテンシーについて説明します。

クライアントからサーバーへのHTTPレイテンシを低くすることは、高速で読み込みの速いWebサイトを作成するために重要です。

TCP/IPのみに3ウェイハンドシェイクがあります(TCP上のプレーンHTTPの初期接続セットアップには3パケットが必要です)。 SSL/TLSを使用すると、接続のセットアップがより複雑になります。つまり、新しいHTTPS接続のレイテンシはプレーンテキストHTTPよりも避けられないほど長くなります。

HTTPの問題は、安全でないことです。したがって、機密データがある場合は、何らかのセキュリティが必要です。 「https」で始まるWebブラウザに何かを入力すると、トラフィックを保護するために暗号化層を使用するようブラウザに要求します。これにより、盗聴者に対する合理的な保護が提供されますが、問題はそれが遅くなることです。トラフィックを暗号化するため、計算が必要になり、時間が長くなります。これは、システムを適切に設計しないと、ユーザーにとってWebサイトが遅くなることを意味します。

結論:

大規模なコンテンツ専用サイトがあります。ログインもログアウトも、ユーザー名も、メールアドレスも、セキュリティで保護された領域も、サイトの秘密も、,はありません。人々はサイトに来て、ページからページに移動してコンテンツを見るだけです。

この場合、SSLはまったく使用しません。クリックして1秒で開くページが欲しいです。それは、ユーザーエクスペリエンスからです。あなたが望むようにします、私は私が作るすべてに証明書を置きません。この特定のケースでは、まったく使用しません。

3
Josip Ivic

他の人が言及した利点に加えて、Chromeを使用する訪問者を気にしない限り、SSLに切り替える理由が1つあります-Chromeの新しいバージョン( HTTPSを使用していないすべてのサイトについて、デフォルトで年末には警告が表示されます(これにより、サイトからユーザーが追い出されます)。

// EDIT:

ここにさらに2つの詳細な記事へのリンクがありますが、機能を公式に導入する予定のときに読んだ記事は見つかりません。

https://motherboard.vice.com/read/google-will-soon-shame-all-websites-that-are-are-unencrypted-chrome-https

http://www.pandasecurity.com/mediacenter/security/websites-that-arent-using-https/

1
Sledge Hammer

他の回答では、HTTPSの利点について説明しました。ユーザーはHTTPSを使用することを強制するでしょうか? 2つの理由:

  • ユーザーにHTTPSを使用しないオプションを与えた場合、特にほとんどのブラウザーはアドレスバーにドメインを入力するときにhttps://ではなくhttp://をデフォルトとするため、おそらくHTTPSは使用しません。
  • 安全なバージョンと安全でないバージョンの両方を実装することにより、接続の攻撃対象領域を増やします。安全なバージョンを使用していると考えている場合でも、攻撃者に ダウングレード攻撃 を実行する機会を与えます。
  • すべてのhttp:// URLを同等のhttps://にリダイレクトすると、サーバーの管理者と検索エンジンの作業が楽になります。 http://とhttps://が同等であるのか、まったく異なるものを指すのかを心配する必要はありません。相互にリダイレクトすることで、使用するURLが誰にでも明らかです。
1
Flimm

簡単な答えは、-そうでない正当な理由はありませんです。過去には、絶対に必要な場合にのみSSLを使用することについての議論がありました(たとえば、支払いの詳細を収集するeコマースサイト)。

これらは主に、SSL証明書のインストール手順、コスト、Webサーバーの追加負荷、およびネットワークの制限に関係していました-当時はブロードバンドなどを持っていなかったためです。これらの理由は2016年には当てはまりません。

SEOに関しては、ほとんどの検索エンジンの目標はユーザーに最高の結果を提供することであり、これはユーザーが閲覧しているサイトへの安全な接続を提供することで実現できることを知っています。この点で、検索エンジンは、サイトに「表示」または「収集」のいずれかの「機密」データがあるかどうかを気にしません。サイトがHTTPS経由で提供されている場合、認証と暗号化の潜在的なリスクが大幅に最小限に抑えられるため、サイトはHTTPSのない同等のサイトよりも「優れている」と見なされます。

基本的に、実装は非常にシンプルで簡単であり、最近ではベストプラクティスと見なされています。 Web開発者として、私はSSL証明書をインストールし、HTTPS(.htaccessまたは同等のものを使用して非常に簡単)を介してすべての要求を、構築するサイトまたはWebアプリケーションの標準部分にすることを検討しています。

1
Andy

他の回答に加えて、ブラウザは(RFC 2119のように)User-Agentヘッダーを送信する必要があります。ユーザーが実際のUser-Agentを送信する場合、ユーザーが使用しているプラ​​ットフォームに関する十分な情報を提供します。 EveがAliceによるリクエストを傍受でき、Aliceが実際のUser-Agentを送信すると、EveはAliceがEveのサーバーに接続せずにAliceが使用するプラットフォームを認識します。このような知識があれば、アリスのコンピューターにハッキングするのが簡単になります。

1
v7d8dpo4

メインドメイン(mysite.com)とそのサブドメイン(play.mysite.comおよびtest.mysite.com)を保護するには、2つのオプションがあります。 SSLは、eコマース、金融取引またはログイン資格情報がWebサイトで共有される支払い商人サイトだけのものではありません。コンテンツベースのWebサイトでも同様に重要です。攻撃者は常にプレーンなWebサイトまたはWebサイトの抜け穴を検索します。 SSLはセキュリティを提供するだけでなく、Webサイトの認証も行います。コンテンツベースのウェブサイトでSSLを使用する主な利点は、

  • サイトのコンテンツを変更できる中間者攻撃を回避できます。

  • その上、あなたのウェブサイトには、訪問者がウェブサイトと共有する場合に情報が保護されることを通知する信頼性があります。

  • 彼らはウェブサイトの真正性についての保証を得ます。

  • さらに、WebサイトでSSLを使用すると、悪意のある広告、エクスプロイト、不要なウィジェット、ソフトウェアの交換、およびWebページへの害がWebサイトから注入されなくなります。

  • SSL証明書は、保証のために任意のWebページに配置できる静的なサイトシールを提供し、顧客は、シールをクリックして、インストールされたSSL証明書の詳細を知ることができます。

1
Jason Parms