web-dev-qa-db-ja.com

サイト全体をHTTPSにしてユーザーを混乱させますか?

私のサイトのすべてのページをデフォルトでHTTPS経由でロードしたいと思います(私の手間が減り、個人的にはユーザーとして選択肢が与えられればHTTPSを好みます)。

ただし、ブラウザにHTTPSアイコン/緑のバーが表示されると、安全なログイン、オンライン購入、個人情報などと関連付けられるため(多くのサイトから関連付けられるように言われさえしているため)、一部のユーザーが混乱するのではないかと心配しています。送られるなど.

私のサイトにはメンバーエリアがありますが、誰でもアクセスできる無料のコンテンツもたくさんあります。

質問:単純なコンテンツページでHTTPSを表示すると、ユーザーが混乱したり、「より深刻な」ことが起こっていることを警告したりする可能性がありますか?

31

私はそうは思いません—多くの消費者/娯楽サイトはHTTPSを採用しています。 TwitterとFacebookは最も人気のある例です。また、「デフォルトでHTTPS」に移行することはWebの一般的な傾向であるため、すぐに例外ではなく標準になるでしょう。

44
Nikita Prokopov

ほとんどの人は、証明書がそれを受け入れるためにユーザーの操作を必要としない限り、気付くことさえありません。

私たちはあなたのサイトの人口統計を知りませんが、一般的なルールとして、ユーザーがアドレスバーにsite.comと入力すると、ホスティング会社のあなたのスペースに連れて行かれ、そこで答えがそれらに連れて行くと考えることができます正しいURL、それが何であれ。他のユーザーは、お気に入りの検索エンジンにアドレスを入力します。これにより、正しいURLに直接移動するか、正しいURLで結果を表示してクリックします。

それらのほんの一部がアドレス全体を入力し、それらはHTTPからHTTPSへのリダイレクトに気付くので、それらに問題はないはずです。

結論、あなたがしなければならない唯一のことは、あなたのサイトが適切に設定されていることを確実にすることです、それですべてのリダイレクトがシームレスに起こり、そしてユーザーがHTTPからHTTPSにジャンプしないことです。

17
PatomaS

サーバー証明書が常にOKであることを確認してください。それらを実行させないでください。異なるアドレスのURLにリダイレクトしたり、同じサーバー証明書を使用したりしないでください。それは、ユーザーがwillに気づき、ブラウザから、サイトを放棄する可能性のあるかなり恐ろしい通知を受け取るためです。

8
gnasher729

サーバー名の表示と広告の2つの問題が表示されます。

より安価なホスティング層を使用している場合は、他のいくつかのWebサイトとIPアドレスを共有します。クリアテキストHTTPでは、Host:ヘッダーは、単一のIPアドレスのポート443上のWebサイトを区別します。しかし、HTTPSでは、サーバーのSSLスタックは、正しい証明書を送信する前にホスト名を知る必要があります。それ以外の場合は、特定のサイトと一致しない可能性がある最初の証明書を送信します。ただし、SSLスタックにホスト名を提供する拡張機能 Server Name Indication(SNI) はかなり最近のものであり、古いブラウザはそれをサポートしていません。最も重要な非SNIブラウザーは、Windows用Internet Explorer XPおよびAndroid Browser for Android 2.xです。したがって、これらの古いブラウザーのユーザーを混乱させないために、サイトの証明書をそのIPアドレスの最初の証明書にする必要があります。つまり、ホスティングプロバイダーから専用のIPv4アドレスを購入する必要があります。

Webサイトがサードパーティの広告サーバーを使用して「誰もがアクセスできる無料のコンテンツ」の発行に資金を提供している場合は、HTTPSをサポートしていることを確認する必要があります。ユーザーを怖がらせます。 AdSenseは HTTPSサポートを追加 への最初の主要な広告ネットワークのようであり、それさえ2013年9月(この記事の執筆時点で6か月前まで)まで発生しませんでした。

4
Damian Yerrick

パブリックコンテンツをhttp + ssl(https)経由で配信しても問題はありません。これは、2008年に戻った学生のWebメールがhttp経由で配信されたため、失敗する可能性のある別の方法です。これは本当のセキュリティ問題です。

ユーザーにとっては、httpsインジケーターは安全、安全、有効、信頼できるという概念です。ユーザーは、たとえhttpsサイトの画像を見ると、パブリックサイトで違いがなくても、さらにリラックスできます。

2
Benny Skogberg

Googleや他のブラウザ開発者もhttpsを強制しています。 Chrome今ではそれなしで地理位置情報を許可していません。彼らは今後数年にわたってすべてのWebサイトを強制的にSSLにしようとしています。

まず、これらの既存の機能に安全なオリジンを要求することから始めたいと思います。

  • デバイスの動き/向き
  • EME
  • 全画面表示
  • ジオロケーション
  • getUserMedia

HTTPを非セキュアとして徐々にマークする( https://www.chromium.org/Home/chromium-security/marking-http-as-non-secure )のように、これらを徐々に移行する予定です使用量のしきい値に基づいて、最低限の使用量から始まり、使用量の高い方へと移動する、保護のみの機能また、非セキュアなオリジンでは機能が廃止されることをUXで段階的に示す予定です。

これらの各機能の非推奨戦略は決定されておらず、機能ごとに非常に異なる場合があります。現在のところ、しきい値がどのようになるか、または機能の使用頻度がどのような起源にあるのかはわかりません。現在、データを収集中であり、データがあり次第報告します。現在のところ、最終的な廃止を除いて、確固たる計画はありません。これは、この廃止に取り組むための最善の方法についての一般の議論を刺激することを意図しています。したがって、その時点まで、コミュニティの意見を聞きたいと思います。

http://www.brightedge.com/blog/is-https-really-necessary/ および https://groups.google.com/a/chromium.org/forumを参照してください。 /#!msg/blink-dev/2LXKVWYkOus/gT-ZamfwAKsJ

そして今、Mozillaもゲームに登場しています…

HTTPSがWebへの道であるというかなり広い合意があります。ここ数か月間、IETF、IAB(他のIABも含む)、W3C、および米国政府から、インターネットアプリケーションによる暗号化の普遍的な使用を要求する声明がありました(Webの場合はHTTPSを意味します)。

コミュニティメーリングリストでの活発な議論の後、Mozillaは安全なWebに新しい開発努力を集中し、非安全なWebから機能を削除することを約束します。この計画には2つの大きな要素があります。

  • すべての新機能が安全なWebサイトでのみ利用可能になる日付を設定する
  • 安全でないWebサイトのブラウザー機能、特にユーザーのセキュリティとプライバシーにリスクをもたらす機能へのアクセスを段階的に段階的に廃止。

完全なエントリはこちら https://blog.mozilla.org/security/2015/04/30/deprecating-non-secure-http/

OPの質問に答えます。いいえ、すべてのサイトがhttpsでsslを使用して安全になるため、ユーザーを混乱させることはありません。

更新:ios10ベータ3およびベータ4では、場所にもhttpsが必要になりました。

1
jkuhns5

番号。 HTTPSはユーザーの信頼を高め、安全な接続についてユーザーに保証します。ウェブサイトに機密コンテンツが含まれているという意味ではありません。信頼できるCAからのSSLは、最高レベルの暗号化を提供します。 CAは、証明書を発行する前に、ドメインの所有権と組織の詳細を確認します。したがって、HTTPS接続はセキュリティと信頼性を提供します。

1
Sanjay B.

上記すべてに同意します。それが何であるか、そしてユーザーがHTTPSリクエストを拒否した場合になぜそれを行うのかを説明するために、フォールバックページを提案するでしょう。証明書への署名方法がわからない場合でも、そのページを使用して、デフォルトおよび一般的なプライバシーのためにすべてをより安全にすることを拒否することをユーザーに教えることができます。

0
Mark Sloan

1)面倒なことはありますか? VIP支払いフォーム付きのサブスクリプションページがあります。クレジットカード情報を取得するには、もちろんhttpsが必要なため、このページをhttpsプロトコルの下に配置します。ただし、サイトの他の部分はメンバーエリアでもhttpの下にあります。

2)技術的な観点から見ると、httpsは少し遅くなります-ページの読み込み時間が約1秒長くなります。 SSLは最初のページリクエストの間にインストールする必要があります。SSLは4つのリクエストを受け取り、ssl-cacheのために必要なリクエストが少なくなります。しかし、とにかく、それはhttpより少し遅いです。

0
Humanoit