Digamos que eu tenha um site grande apenas para conteúdo; sem login ou logout, sem nomes de usuário, sem endereços de e-mail, sem área segura, nada secreto no site, nada. As pessoas simplesmente acessam o site, vão de página em página e olham para o conteúdo.
Além de um pequeno aumento no SEO do Google ( muito pouco, pelo que li), existe algum benefício em forçar o carregamento do site via HTTPS?
Respostas:
O HTTPS não apenas fornece sigilo (do qual você está duvidando do valor, embora ainda haja boas razões para isso), mas também autenticidade , que sempre é valiosa. Sem ele, um ponto de acesso / roteador / ISP / etc malicioso. pode reescrever qualquer parte do seu site antes de exibi-lo para o usuário. Isso pode incluir:
Não proteger seus usuários dessas coisas é irresponsável.
fonte
... de acordo com você . Pode haver uma razão perfeita para alguém querer uma conexão segura. (Parcialmente) cria privacidade:
Você pode pensar que é insignificante, ou talvez não seja grande coisa agora, mas poderia estar em outro momento. Acredito firmemente que ninguém além de mim e do site deve saber exatamente o que estou fazendo.
Isso cria confiança. Ter o cadeado é um sinal de segurança e pode significar algum grau de habilidade em relação ao site e, portanto, aos seus produtos.
Isso o torna menos alvo de, por exemplo, ataques MitM. A segurança aumenta.
Com iniciativas como o Let's Encrypt , que tornam muito mais fácil e gratuito , não há muitas desvantagens. A energia da CPU absorvida pelo SSL é insignificante atualmente.
fonte
https://penisland.tumblr.com/
seu navegador, fará uma solicitação de DNS para apenisland.tumblr.com
qual, a menos que você tenha protegido suas consultas de DNS, o administrador da rede poderá ver. Em seguida, seu navegador precisa obter imagens, Javascript, CSS e anúncios de vários domínios que geram mais solicitações de DNS. Eles podem ser de qualquer domínio. Os poucos domínios pornôs do Tumblr que eu tentei não têm nada óbvio, o Tumblr tende a hospedar imagens e vídeos internamente, mas você não pode confiar nisso para ter privacidade.Você obtém suporte a HTTP / 2 , o novo padrão da web desenvolvido para melhorar significativamente a velocidade de carregamento do site .
Como os fabricantes de navegadores optaram por oferecer suporte a HTTP / 2 somente por HTTPS, ativar o HTTPS (em um servidor que suporte HTTP / 2) é a única maneira de obter essa atualização de velocidade.
fonte
(Partes retiradas da minha resposta a uma pergunta semelhante.)
HTTPS pode conseguir duas coisas:
Provavelmente todos concordam que o HTTPS deve ser obrigatório na transmissão de segredos (como senhas, dados bancários etc.), mas mesmo que o site não processe esses segredos, existem vários outros casos em que e por que o uso do HTTPS pode ser benéfico.
Os invasores não podem adulterar o conteúdo solicitado.
Ao usar o HTTP, os bisbilhoteiros podem manipular o conteúdo que os visitantes veem no seu site. Por exemplo:
HTTPS pode impedir isso.
Os invasores não podem ler o conteúdo solicitado.
Ao usar HTTP, os bisbilhoteiros podem aprender quais páginas / conteúdo em seu host os visitantes acessam. Embora o conteúdo em si possa ser público, o conhecimento que uma pessoa específica consome pode ser problemático:
Obviamente, isso depende da natureza do seu conteúdo, mas o que parece ser um conteúdo inofensivo para você pode ser interpretado de maneira diferente por outras partes.
Melhor prevenir do que remediar. HTTPS pode impedir isso.
fonte
Isso evita ataques intermediários que fazem você pensar que está visitando seu site, mas apresentam uma página que é realmente de outra e podem tentar obter informações de você. Como os dados são criptografados, também torna mais difícil para um invasor manipular a página como você a vê.
Como você precisa de um certificado SSL, que verifique se você é o proprietário do site, no mínimo, dando pelo menos alguma verificação sobre quem você é.
fonte
Empresas de marketing como a Hitwise pagam aos ISPs para coletar dados sobre o seu site quando você não usa SSL. Os dados sobre o seu site são coletados, os quais você pode preferir que seus concorrentes não conheçam:
fonte
E, apenas para adicionar mais uma coisa a todas as respostas, falarei sobre latência. Porque, parece que ninguém escreveu aqui sobre isso.
Ter uma baixa latência HTTP de cliente para servidor é fundamental para criar sites responsivos e de carregamento rápido.
Somente o TCP / IP possui handshake de três vias (a configuração inicial da conexão para HTTP simples sobre TCP requer 3 pacotes). Quando SSL / TLS é usado, a configuração da conexão fica mais envolvida, o que significa que a latência para novas conexões HTTPS é inevitavelmente maior que o HTTP em texto sem formatação.
O problema com o HTTP é que ele não é seguro. Portanto, se você tiver dados confidenciais, precisará de alguma forma de segurança. Quando você digita algo no seu navegador começando com "https", você está pedindo ao seu navegador para usar uma camada de criptografia para proteger o tráfego. Isso fornece uma proteção razoável contra os bisbilhoteiros, mas o problema é que será mais lento. Como queremos criptografar nosso tráfego, haverá alguma computação envolvida, o que aumenta o tempo. Isso significa que, se você não projetar seu sistema corretamente, seu site parecerá lento para os usuários.
Concluir:
Se for esse o caso, não usarei SSL. Eu gostaria de ter minha página quando você clicar nela para abrir em um segundo. Isso é da experiência do usuário. Você faz o que deseja, apenas não coloco certificados em tudo que faço. Nesse caso em particular, eu não usaria nada.
fonte
Além dos benefícios mencionados por outras pessoas, há um motivo para você mudar para SSL, a menos que não se importe com os visitantes que usam o Chrome - as novas versões do Chrome (a partir do final do ano, tanto quanto me lembro) são mostrará um aviso (que afastará os usuários do seu site) por padrão para todos os sites que não estiverem usando HTTPS.
//EDITAR:
Aqui estão os links para dois artigos mais detalhados, embora eu não consiga encontrar o que eu li sobre quando eles planejam apresentar oficialmente o recurso:
https://motherboard.vice.com/read/google-will-soon-shame-all-websites-that-are-unencrypted-chrome-https
http://www.pandasecurity.com/mediacenter/security/websites-that-arent-using-https/
fonte
A resposta simples é que não há uma boa razão para não fazê-lo . No passado, havia argumentos sobre o uso de SSL apenas quando absolutamente necessário (por exemplo, em sites de comércio eletrônico que coletavam detalhes de pagamento).
Isso estava relacionado ao procedimento de instalação de certificados SSL, custo, carga adicional no servidor da web e limitações de rede - em um momento em que as pessoas não tinham banda larga etc. Nenhum desses motivos realmente se aplica em 2016.
Em termos de SEO, sabemos que o objetivo da maioria dos mecanismos de pesquisa é fornecer os melhores resultados para seus usuários, e isso pode ser feito fornecendo a eles uma conexão segura com o site em que estão navegando. A esse respeito, os mecanismos de pesquisa não se importam se há dados "sensíveis" no site (sendo apresentados ou coletados); é simplesmente o caso de que, se o site for veiculado por HTTPS, todos os riscos potenciais de autenticação e criptografia forem bastante minimizados; portanto, o site seria considerado "melhor" do que o site equivalente sem HTTPS.
Essencialmente, é tão simples e direto de implementar, que é visto como a melhor prática hoje em dia. Como desenvolvedor da Web, considere instalar um certificado SSL e forçar todas as solicitações por HTTPS (muito fácil usar .htaccess ou equivalente) a fazer parte padrão de qualquer site ou aplicativo da Web que eu construa.
fonte
Além das outras respostas, os navegadores devem (como na RFC 2119) enviar o
User-Agent
cabeçalho. Ele fornece informações suficientes sobre qual plataforma um usuário está usando, se ele enviar o atualUser-Agent
. Se Eve puder escutar um pedido feito por Alice, e Alice enviar o atualUser-Agent
, Eve saberá qual plataforma Alice usa sem que Alice faça uma conexão com o servidor de Eve. Será mais fácil invadir o computador de Alice com esse conhecimento.fonte
Você tem duas opções para proteger seu domínio principal (mysite.com) e seus subdomínios (play.mysite.com e test.mysite.com). O SSL não é apenas para sites de comércio eletrônico, comerciantes de pagamentos em que transações financeiras ou credenciais de login são compartilhadas pelo site. É igualmente importante para sites baseados em conteúdo. Os invasores sempre buscam um site HTTP simples ou uma brecha no site. O SSL não apenas fornece segurança, mas também autentica seu site. O principal benefício de ter SSL no site baseado em conteúdo é que,
Você pode evitar ataques intermediários que podem alterar o conteúdo do site.
Além disso, seu site terá autenticidade que notifica os visitantes de que suas informações serão protegidas se compartilharem com o site.
Eles obtêm garantia sobre a autenticidade do site.
Além disso, seu site estará livre de injeção de anúncios maliciosos, explorações, widgets indesejados, substituição de software e danos a páginas da web depois que você tiver SSL em seu site.
O certificado SSL oferece selo estático do site que pode ser colocado em qualquer página da Web para garantia e os clientes podem clicar no selo para conhecer os detalhes do certificado SSL instalado.
fonte
Outras respostas falaram sobre os benefícios do HTTPS. Por um usuário seria forçado a usar HTTPS? Por duas razões:
fonte