SSL (HTTPS)을 통해 사이트를 강제로로드하면 어떤 이점이 있습니까?

큰 콘텐츠 전용 사이트가 있다고 가정 해 보겠습니다. 로그인 또는 로그 아웃, 사용자 이름, 이메일 주소, 보안 영역, 사이트의 비밀, nada가 없습니다. 사람들은 단지 사이트를 방문하여 페이지를 넘나들며 콘텐츠를 봅니다.

(구글에서 검색 엔진 최적화에 약간의 충돌 외에도 매우 내가 읽은 것과 약간), HTTPS를 통해로드 사이트를 강제로 어떤 혜택이 있습니까?

HTTPS는 보안을 제공 할뿐만 아니라 (이에 대한 정당한 이유가 있지만 값을 의심하고 있음) 항상 가치가있는 진위성 을 제공합니다. 그것 없이는 악의적 인 액세스 포인트 / 라우터 / ISP / 등. 사이트를 사용자에게 표시하기 전에 사이트의 모든 부분을 다시 쓸 수 있습니다. 여기에는 다음이 포함될 수 있습니다.

• 경쟁 업체에 광고를 삽입
• 귀하의 사이트가 나빠 보이고 평판에 해를 끼치는 광고 또는 성가신 위젯 삽입
• 방문자의 컴퓨터에 멀웨어의 드라이브 바이 다운로드를 수행하기위한 익스플로잇 주입
• 사이트의 소프트웨어 다운로드를 악성 코드가 포함 된 소프트웨어로 교체
• 이미지 품질 저하
• 자신이 원하지 않는 사이트의 일부 (예 : 자체 서비스와 경쟁하거나 나쁜 조명으로 묘사하는 것)를 제거
• 기타

이러한 것들로부터 사용자를 보호하지 못하는 것은 무책임합니다.

"사이트에 비밀이 없습니다"

... 당신 에 따르면 . 누군가가 안전한 연결을 원하는 완벽한 이유가 있습니다. 그것은 (부분적으로) 프라이버시를 만듭니다 :

관리자가 URL을 통해 휴대 전화에서 일부 사진 사이트를 탐색하고 있음을 알 수 있지만 귀여운 고양이 나 하드 코어 포르노 사진을보고 있는지 알 수 없습니다. 나는 그것이 아주 좋은 개인 정보 보호 정책이라고 말하고 싶습니다. "컨텐츠"와 "컨텐츠"는 세상의 모든 차이를 만들 수 있습니다. – Agent_L

당신은 그것이 중요하지 않다고 생각할 수도 있고, 지금은 큰 문제가 아니지만 다른 시점에있을 수도 있습니다. 나는 저와 웹 사이트를 제외하고 아무도 내가하고있는 일을 정확히 알아야한다는 것을 굳게 믿고 있습니다.

신뢰를 만듭니다. 자물쇠를 갖는 것은 보안의 표시이며 웹 사이트 및 제품에 관한 어느 정도의 기술을 나타낼 수 있습니다.

예를 들어 MitM 공격의 대상이되지 않습니다. 보안이 향상됩니다.

Let 's Encrypt 와 같은 이니셔티브를 사용하면 훨씬 쉽고 무료 로 사용할 수 있으므로 단점이 많지 않습니다. SSL이 차지하는 CPU 전력은 요즘 무시할 만합니다.

웹 사이트 로딩 속도 를 크게 향상 시키 도록 설계된 새로운 웹 표준 인 HTTP / 2 지원을 받을 수 있습니다.

브라우저 제조업체 는 HTTPS를 통해서만 HTTP / 2를 지원하도록 선택 했기 때문에 HTTPS (HTTP / 2를 지원하는 서버에서)를 활성화하는 것이이 속도 업그레이드를 얻는 유일한 방법입니다.

( 나의 대답 에서 유사한 질문에 대한 부분).

HTTPS는 다음 두 가지를 달성 할 수 있습니다.

• 인증 . 방문자가 실제 도메인 소유자와 통신하고 있는지 확인하십시오.
• 암호화 . 이 도메인 소유자와 방문자 만 자신의 커뮤니케이션을 읽을 수 있는지 확인하십시오.

암호, 은행 데이터 등의 비밀 정보를 전송할 때는 HTTPS가 필수적이어야하지만 모든 사이트에서 이러한 비밀 정보를 처리하지 않더라도 HTTPS를 사용하는 것이 유리한 이유와 이유가 몇 가지 있습니다.

공격자는 요청 된 콘텐츠를 변조 할 수 없습니다.

HTTP를 사용할 때 도청자는 방문자가 웹 사이트에서 보는 컨텐츠를 조작 할 수 있습니다. 예를 들면 다음과 같습니다.

• 다운로드 할 소프트웨어에 맬웨어를 포함 시키거나 소프트웨어 다운로드를 제공하지 않으면 공격자가 시작합니다.
• 일부 컨텐츠 검열 의견 표현의 변화.
• 광고를 주입합니다.
• 기부 계정의 데이터를 자신의 것으로 바꾸십시오.

HTTPS는 이것을 막을 수 있습니다.

공격자는 요청 된 콘텐츠를 읽을 수 없습니다.

HTTP를 사용할 때 도청자는 방문자가 액세스하는 호스트의 페이지 / 콘텐츠를 배울 수 있습니다. 내용 자체는 공개적 일 수 있지만 특정 개인이 소비한다는 지식은 문제가 될 수 있습니다.

• 사회 공학을 위한 공격 경로를 엽니 다 .
• 개인 정보를 침해합니다.
• 그것은 감시와 처벌로 이어질 수 있습니다 (감금, 고문, 사망까지).

물론 이것은 콘텐츠의 특성에 따라 다르지만 무해한 콘텐츠로 보이는 내용은 다른 당사자가 다르게 해석 할 수 있습니다.

미안보다 안전합니다. HTTPS는 이것을 막을 수 있습니다.

그것은 당신이 당신의 사이트를 방문하고 있다고 생각하지만 실제로 다른 사이트에서 온 페이지를 제시하여 정보를 얻으려고 시도하는 중간 공격에 빠지는 사람을 방지합니다. 데이터가 암호화되므로 공격자가 보는 것처럼 페이지를 조작하기가 더 어려워집니다.

SSL 인증서가 필요하기 때문에 최소한 본인의 신원을 확인하여 최소한 사이트 소유자인지 확인합니다.

Hitwise와 같은 마케팅 회사는 SSL을 사용하지 않을 때 ISP에 요금을 지불하여 사이트에 대한 데이터를 수집합니다. 귀하의 사이트에 대한 데이터가 수집되어 경쟁 업체에 알지 못할 수도 있습니다.

• 사용자 인구 통계
• 방문자 통계
• 인기있는 페이지
• 검색 엔진 키워드 ( '제공되지 않음'이지만 요즘은 문제가되지 않습니다.)

그리고 모든 답변에 한 가지만 더 추가하기 위해 대기 시간 에 대해 이야기하겠습니다 . 왜냐하면 여기에 아무도 글을 쓰지 않은 것 같습니다.

클라이언트와 서버 간 HTTP 대기 시간이 짧은 것은 빠른 로딩과 반응 형 웹 사이트를 만드는 데 중요합니다.

TCP / IP에만 3 방향 핸드 셰이크가 있습니다 (TCP를 통한 일반 HTTP의 초기 연결 설정에는 3 개의 패킷이 필요함). SSL / TLS를 사용하는 경우 연결 설정이 더 복잡하므로 새 HTTPS 연결의 대기 시간이 일반 텍스트 HTTP보다 불가피하게 높습니다.

HTTP의 문제점은 안전하지 않다는 것입니다. 따라서 민감한 데이터가있는 경우 어떤 형태의 보안이 필요합니다. "https"로 시작하는 웹 브라우저에 무언가를 입력하면 브라우저가 암호화 계층을 사용하여 트래픽을 보호하도록 요청합니다. 이것은 도청에 대한 합리적인 보호를 제공하지만 문제는 느려질 것입니다. 트래픽을 암호화하고 싶기 때문에 시간이 더 걸리는 계산이 필요합니다. 즉, 시스템을 올바르게 설계하지 않으면 웹 사이트가 느리게 나타납니다.

결론적으로:

큰 콘텐츠 전용 사이트가 있습니다. 로그인 또는 로그 아웃, 사용자 이름, 이메일 주소, 보안 영역, 사이트의 비밀, nada가 없습니다. 사람들은 단지 사이트를 방문하여 페이지를 넘나들며 콘텐츠를 봅니다.

이 경우 SSL을 전혀 사용하지 않습니다. 클릭 할 때 페이지가 1 초 안에 열리도록하고 싶습니다. 그것은 사용자 경험에서 비롯된 것입니다. 당신이 원하는대로, 난 단지 내가 만드는 모든 것에 인증서를 넣지 않습니다. 이 특별한 경우에는 전혀 사용하지 않을 것입니다.

다른 사람들이 언급 한 이점 외에도 Chrome을 사용하는 방문자를 신경 쓰지 않는 한 SSL로 전환 해야하는 한 가지 이유가 있습니다. 새 버전의 Chrome은 (내가 기억하는 한 연말부터 시작합니다) HTTPS를 사용하지 않는 모든 사이트에 대해 기본적으로 경고 (사이트에서 사용자를 멀어지게 함)가 표시됩니다.

//편집하다:

다음은 두 가지 더 자세한 기사에 대한 링크입니다. 공식적으로 기능을 소개하려고 할 때 읽은 기사를 찾을 수없는 것 같습니다.

https://motherboard.vice.com/read/google-will-soon-shame-all-websites-that-are-unencrypted-chrome-https

http://www.pandasecurity.com/mediacenter/security/websites-that-arent-using-https/

간단한 대답은 하지 말아야 할 이유가 없다는 것 입니다. 과거에는 반드시 필요한 경우에만 SSL 사용에 대한 주장이있었습니다 (예 : 지불 세부 정보를 수집하는 전자 상거래 사이트).

이는 사람들이 광대역 등을 가지고 있지 않은 시간에 SSL 인증서, 비용, 웹 서버에 대한 추가로드 및 네트워크 제한에 대한 설치 절차와 주로 관련이 있습니다. 이러한 이유 중 어느 것도 2016 년에 실제로 적용되지 않습니다.

검색 엔진 최적화 측면에서 대부분의 검색 엔진의 목표는 사용자에게 최상의 결과를 제공하는 것이며 이는 검색중인 사이트에 안전하게 연결하여 수행 할 수 있습니다. 이와 관련하여, 검색 엔진은 사이트 상에 "민감한"데이터가 존재하는지 (제공 또는 수집 중) 상관하지 않으며; 사이트가 HTTPS를 통해 제공되는 경우 인증 및 암호화의 잠재적 위험이 크게 최소화되므로 사이트가 HTTPS가없는 동등한 사이트보다 "더 나은"것으로 간주됩니다.

본질적으로 구현하기가 너무 간단하고 간단하며 요즘 모범 사례로 간주됩니다. 웹 개발자는 SSL 인증서를 설치 한 다음 HTTPS를 통한 모든 요청 (.htaccess 또는 이와 동등한 기능을 사용하여 매우 쉽게)을 구축하는 모든 사이트 또는 웹 응용 프로그램의 표준 부분으로 만드는 것을 고려합니다.

다른 답변 외에도 브라우저는 RFC 2119에서와 같이 User-Agent헤더를 보내야합니다 . 사용자가 실제를 보내는 경우 사용중인 플랫폼에 대한 충분한 정보를 제공합니다 User-Agent. Eve가 Alice의 요청을 도청 할 수 있고 Alice가 실제를 보내면 User-AgentEve는 Alice가 Eve의 서버에 연결하지 않고 Alice가 사용하는 플랫폼을 알게됩니다. 그러한 지식으로 Alice의 컴퓨터를 해킹하는 것이 더 쉬울 것입니다.

기본 도메인 (mysite.com)과 하위 도메인 (play.mysite.com 및 test.mysite.com)을 보호하는 두 가지 옵션이 있습니다. SSL은 웹 사이트를 통해 금융 거래 또는 로그인 자격 증명을 공유하는 전자 상거래, 결제 판매자 사이트만을위한 것이 아닙니다. 콘텐츠 기반 웹 사이트도 마찬가지로 중요합니다. 공격자는 항상 웹 사이트에서 일반 HTTP 웹 사이트 또는 허점을 검색합니다. SSL은 보안을 제공 할뿐만 아니라 웹 사이트를 인증합니다. 콘텐츠 기반 웹 사이트에서 SSL을 사용하는 주요 이점은

• 사이트의 내용을 변경할 수있는 중간자 공격을 피할 수 있습니다.

• 또한, 귀하의 웹 사이트는 방문자에게 웹 사이트와 공유 할 경우 정보가 보호 될 것임을 알리는 진위를 보장합니다.

• 그들은 웹 사이트 진위에 대한 확신을 얻습니다.

• 또한 웹 사이트에서 SSL을 사용하면 악의적 인 광고, 악용, 원치 않는 위젯, 소프트웨어 교체 및 웹 페이지 손상이 발생하지 않습니다.

• SSL 인증서는 모든 웹 페이지에 배치 할 수있는 정적 사이트 씰을 제공하며 고객은 씰을 클릭하여 설치된 SSL 인증서의 세부 정보를 알 수 있습니다.

다른 답변은 HTTPS의 이점에 대해 이야기했습니다. 하여 사용자가 될 것이다 강제 HTTPS를 사용할 수 있나요? 두 가지 이유로 :

• HTTPS를 사용하지 않는 옵션을 사용자에게 제공하는 경우 특히 주소 표시 줄에 도메인을 입력 할 때 대부분의 브라우저가 https : //가 아닌 http : //가 아니기 때문에 아마도 사용하지 않을 것입니다.
• 보안 버전과 안전하지 않은 버전을 모두 구현하면 연결의 공격 영역이 증가합니다. 보안 버전을 사용한다고 생각하더라도 공격자는 다운 그레이드 공격 을 수행 할 수 있습니다.
• 모든 http : // URL을 동등한 https : // URL로 리디렉션하면 서버 관리자와 검색 엔진이 더 편리합니다. http : //와 https : //가 동등한 지 또는 완전히 다른 것을 가리키는 지 여부에 대해 걱정할 필요가 없습니다. URL을 다른 것으로 리디렉션하여 모든 사람에게 사용되는 URL을 명확하게 알 수 있습니다.