web-dev-qa-db-ja.com

企業のWebサイトでSSLを使用すると、企業の信頼性が高まりますか?

最近、多くの最新のブラウザがサイトのセキュリティ証明書に関する情報を表示する方法について考えました。少なくともFirefoxは、有効なSSL証明書を持つサイトのアドレスバーに非常に目立つ青いボックスを表示し、実質的にすべてのブラウザーは、より高価なEV SSL証明書を持つサイトでさらに視覚的な手掛かりを提供します。

私の理論では、証明書は会社自体の信頼性とは関係ありませんが、会社は無意識のうちにWebサイトのSSLをより信頼できるように見せることができます。これを支持または否定する研究はありますか?そうでない場合、HTTPとHTTPSの両方で利用できる会社のWebサイトの例はありますか?

11
Kaivosukeltaja

一部のインターネットマーケターは、より安全に見えると販売の完了に測定可能な影響が生じる可能性があると述べていますが、何かを直接販売していないサイトでは、これが問題になるとは思いません。

HTTPS接続はHTTPよりも遅いであることにも注意する必要があります。そのため、サイトの速度が遅くなる可能性があります。アマゾンは、0.2秒の読み込み時間の増加でさえかなり高いフォールオフ率(ページを離れる人々)がいることを発見しました。

結局のところ、特定のサイトで認識された追加のメリットが速度の犠牲を上回るかどうかが重要になります。

もちろん、これを行う方法はA/Bテストを使用することです。この場合、顧客の意見よりも重要な意見はありません。また、彼らのお金で投票するよりも正確な投票はありません。

補足として、Gmailは元々デフォルトでHTTPでしたが、セキュリティ上の理由からHTTPSに変更されました。サイトに機密データがある場合、HTTPSをお勧めします。

18
JohnGB

私が間違っていない場合、@ JohnGBによって引き起こされるパフォーマンスの問題に加えて、HTTPSページであらゆる種類の問題が発生します。内部ページへのリンクがより困難であり、一部のブラウザはいつでも「暗号化されたWebページの開始/終了」をポップします人々があなたのウェブサイトに出入りする場合、外部ソースからの画像やスクリプトで問題が発生します。知覚される信頼性の架空の増加は、あなたとあなたのユーザーにとってすべての混乱の価値があるだけではありません。

6

企業がhttpsを使用してどの程度「評判を高める」ことができるかわかりません。証明書を申請するには、安全な会社であることを示す必要があります。それは、会社がただのフライバイナイト組織ではないことを反映しています。

拡張SSL証明書にはさらに多くの検証が必要です。取得できれば十分であり、会社がしばらくの間存在していることを示しているため、ある程度の信頼性を示しています。

しかし、それは遅く、サーバー上でより多くの処理を必要とします。遅いサイトは悪いことであり、遅いホームページは明確な無効化です-遅い場合、人々はサイトについて何も知らずに消えてしまいがちです。サーバー処理の増加は、企業がハードウェアへの投資を増やしたくないという問題です(サーバーのコストを気にしない企業は、おそらくこれらの手段に頼る必要はないでしょう)。

したがって、全体として、これを行うことには実質的なメリットはないようです。取得できる最高のSSLを取得することには利点がありますが、サイト全体でそれを使用することは悪い考えであり、これを試行する企業は他の問題を抱えている可能性が高いです。

4

信頼性の観点から-はい、SSLはより安全に見えます。問題は、以下で指摘されているように偽造される可能性があることです article:

SANS Instituteのインターネットストームセンターは詐欺に気付き、そのユーザーに「カギのアイコンだけでは偽のWebサイトまたは実際のWebサイトを識別することは不可能です。..セッションは暗号化されています。これが実際の組織であることを確認することはできません。 "詐欺師は、偽のSSL証明書がユーザーのブラウザーでアラートをトリガーしないようにWebサーバーを構成することもできます。 「SSLエンコード方式の1つは「プレーンテキスト」です」とSecure Science CorporationのNeal Krawetzはこの問題に関するSANSの投稿で述べています。 「ほとんどのSSLサーバーではデフォルトでこれが無効になっていますが、ほとんどのブラウザーでサポートされています。プレーンテキストが使用されている場合、中央の認証局に問い合わせることはなく、ユーザーは証明書を受け入れるかどうかを尋ねるメッセージを見ることはありません(「プレーンテキスト」では許可されないため)証明書を使用してください)。このことを念頭に置いて、小さなロックアイコンは暗号化されたチャネルを示すことすらありません。小さなロックはSSL接続を示すだけです。」ビジュアルスプーフィングと呼ばれる手法は、詐欺フィッシングサイトの訪問者に「ロック」を提示する別の方法を提供します。この手法は、Webブラウザーのユーザーインターフェイスを変更し、通常はユーザーが不正を検出するのに役立つブラウザーインターフェイスの一部を画像に置き換えます。 JavaScriptリンクは、スクロールバー、メニューバー、ツールバー、およびステータスバーのない新しいブラウザーウィンドウを起動します-これにより、詐欺師は、正当なサイトのURLを含む偽のステータスバーを画像とともに置き換えることができます安全なSSLサイトを示す「ロック」の例

そのため、サイトの信頼性を高めることができますが、これも偽装される可能性があります。ほとんどの人はこれを知っていますか?それが使用されれば彼らはより安全に感じるかもしれませんが、彼らが知らないのは彼らがだまされているかもしれないということです。結論として、それを使用する必要があります

ATMの使用について考えてみてください。人々は自分のPIN番号を使用してアカウントにアクセスすることで安全だと感じています。この番号は、使用しているマシンから盗まれたり記録されたりして他の場所で使用できますか?確かに、現在の方法でも安全と感じています。

3
Matt Rockwell

これは上記の古い投稿ですが、2013年10月のランキングはまだ高いため、私の見解を示します。 IMO SSLはクレジットを提供します。私は消費者として、SSLを使用しないサイトからは何も「購入」しませんでした。上記の投稿以降、状況は変化しています。多くのSSLサプライヤは、ビジネスの詳細を表示し、正当であることを確認するために彼らのウェブサイトで使用されるコーディングを提供しています。 SSLサイトの最初のロードのほとんどのブラウザは、SSL証明書について通知します。 SSLなしでは、今日の世界で製品やサービスを販売している信頼できるWebサイトを見つけるのは難しいでしょう。販売やサインアップを必要としない、または個人情報を使用しない通常のWebサイトの場合にのみ、SSLを使用しません。

0
Muz