Apa manfaat memaksa situs memuat lebih dari SSL (HTTPS)?

Katakanlah saya memiliki situs khusus konten yang besar; tidak ada login atau logout, tidak ada nama pengguna, tidak ada alamat email, tidak ada area aman, tidak ada rahasia di situs, nada. Orang-orang hanya datang ke situs dan pergi dari halaman ke halaman dan melihat konten.

Selain sedikit perbedaan dalam SEO dari Google ( sangat sedikit, dari apa yang saya baca), adakah manfaat memaksa situs untuk memuat melalui HTTPS?

HTTPS tidak hanya memberikan kerahasiaan (yang Anda meragukan nilainya, meskipun masih ada alasan bagus untuk itu) tetapi juga keaslian , yang selalu bernilai. Tanpa itu, jalur akses berbahaya / router / ISP / dll. dapat menulis ulang bagian mana pun dari situs Anda sebelum menampilkannya kepada pengguna. Ini bisa termasuk:

• menyuntikkan iklan untuk pesaing Anda
• menyuntikkan iklan atau widget yang mengganggu yang membuat situs Anda terlihat buruk dan merusak reputasi Anda
• menyuntikkan eksploit untuk melakukan pengunduhan drive-by malware ke komputer pengunjung, yang kemudian (dengan benar!) menyalahkan Anda karena hal itu terjadi
• mengganti unduhan perangkat lunak dari situs Anda dengan yang memiliki bundel malware
• menurunkan kualitas gambar Anda
• menghapus bagian-bagian situs yang tidak ingin Anda lihat, misalnya hal-hal yang bersaing dengan layanan mereka sendiri atau menggambarkannya dengan buruk
• dll.

Kegagalan untuk melindungi pengguna Anda dari hal-hal ini tidak bertanggung jawab.

"tidak ada rahasia di situs"

... Menurut kamu . Mungkin ada alasan mengapa seseorang menginginkan koneksi yang aman. Ini (sebagian) menciptakan privasi:

Admin saya dapat melihat bahwa saya menjelajahi beberapa situs gambar di ponsel saya melalui url, tetapi dia tidak tahu apakah saya menonton foto kucing lucu atau porno hardcore. Saya akan mengatakan itu privasi yang sangat bagus. "konten" dan "konten" dapat membuat semua perbedaan di dunia. - Agent_L

Anda mungkin berpikir itu tidak penting, atau mungkin itu bukan masalah besar sekarang, tetapi bisa saja di waktu lain. Saya sangat percaya bahwa tidak ada seorang pun selain saya dan situs web harus tahu persis apa yang saya lakukan.

Itu menciptakan kepercayaan. Memiliki gembok adalah tanda keamanan dan itu dapat menandakan tingkat keahlian tertentu tentang situs web, dan dengan demikian produk Anda.

Itu membuat Anda kurang dari target misalnya serangan MitM. Keamanan meningkat.

Dengan inisiatif seperti Let's Encrypt , yang membuatnya jauh lebih mudah dan gratis , tidak ada banyak kerugian. Daya CPU yang diambil oleh SSL dapat diabaikan hari ini.

Anda mendapatkan dukungan HTTP / 2 , standar web baru yang dirancang untuk secara signifikan meningkatkan kecepatan pemuatan situs web .

Karena pembuat browser telah memilih untuk mendukung HTTP / 2 hanya di atas HTTPS, mengaktifkan HTTPS (pada server yang mendukung HTTP / 2) adalah satu-satunya cara untuk mendapatkan peningkatan kecepatan ini.

(Bagian diambil dari jawaban saya untuk pertanyaan serupa.)

HTTPS dapat mencapai dua hal:

• Otentikasi . Memastikan bahwa pengunjung berkomunikasi dengan pemilik domain asli.
• Enkripsi . Pastikan hanya pemilik domain dan pengunjung yang dapat membaca komunikasi mereka.

Mungkin semua orang setuju bahwa HTTPS harus wajib ketika mengirimkan rahasia (seperti kata sandi, data perbankan, dll.), Tetapi bahkan jika situs Anda tidak memproses rahasia seperti itu, ada beberapa kasus lain di mana dan mengapa penggunaan HTTPS dapat bermanfaat.

Penyerang tidak dapat mengutak-atik konten yang diminta.

Saat menggunakan HTTP, eavesdropper dapat memanipulasi konten yang dilihat pengunjung Anda di situs web Anda. Sebagai contoh:

• Termasuk malware dalam perangkat lunak yang Anda tawarkan untuk diunduh (atau jika Anda tidak menawarkan unduhan perangkat lunak apa pun, penyerang mulai melakukannya).
• Menyensor beberapa konten Anda. Mengubah ekspresi pendapat Anda.
• Menyuntikkan iklan.
• Mengganti data akun donasi Anda dengan milik mereka.

HTTPS dapat mencegah hal ini.

Penyerang tidak dapat membaca konten yang diminta.

Saat menggunakan HTTP, eavesdropper dapat mempelajari halaman / konten mana di host Anda yang diakses pengunjung Anda. Meskipun kontennya sendiri bersifat publik, pengetahuan yang dikonsumsi seseorang dapat menimbulkan masalah:

• Ini membuka vektor serangan untuk rekayasa sosial .
• Itu melanggar privasi.
• Ini bisa mengarah pada pengawasan dan hukuman (hingga dipenjara, disiksa, mati).

Ini, tentu saja, tergantung pada sifat konten Anda, tetapi apa yang tampaknya konten tidak berbahaya bagi Anda dapat ditafsirkan secara berbeda oleh pihak lain.

Lebih baik aman daripada menyesal. HTTPS dapat mencegah hal ini.

Ini mencegah orang dalam serangan tengah yang membuat Anda berpikir Anda mengunjungi situs Anda tetapi menyajikan halaman yang sebenarnya dari yang lain dan mungkin berusaha untuk mendapatkan info dari Anda. Karena data dienkripsi, itu juga membuat penyerang lebih sulit untuk memanipulasi halaman seperti yang Anda lihat.

Karena Anda memerlukan sertifikat SSL, yang memverifikasi bahwa Anda adalah pemilik situs minimal memberikan setidaknya beberapa verifikasi siapa Anda.

Perusahaan pemasaran seperti Hitwise membayar ISP untuk mengumpulkan data tentang situs Anda saat Anda tidak menggunakan SSL. Data tentang situs Anda dikumpulkan yang mungkin Anda tidak tahu dari pesaing Anda:

• demografi pengguna
• statistik pengunjung
• halaman populer
• kata kunci mesin pencari (meskipun dengan "tidak disediakan" ini kurang masalah hari ini)

Dan, hanya untuk menambahkan satu hal lagi ke semua jawaban, saya hanya akan berbicara tentang latensi. Karena, sepertinya tidak ada yang menulis di sini tentang ini.

Memiliki latensi HTTP yang rendah dari klien ke server sangat penting untuk membuat situs web yang memuat cepat dan responsif.

TCP / IP sendiri memiliki jabat tangan 3 arah (pengaturan koneksi awal untuk HTTP polos melalui TCP membutuhkan 3 paket). Ketika SSL / TLS digunakan, pengaturan koneksi lebih terlibat, yang berarti latensi untuk koneksi HTTPS baru tidak dapat dihindari lebih tinggi dari HTTP plaintext.

Masalah dengan HTTP adalah bahwa itu tidak aman. Jadi, jika Anda memiliki data sensitif, Anda memerlukan beberapa bentuk keamanan. Saat Anda mengetik sesuatu di browser web Anda dimulai dengan "https", Anda meminta browser Anda untuk menggunakan lapisan enkripsi untuk melindungi lalu lintas. Ini memberikan perlindungan yang wajar terhadap penyadap, tetapi masalahnya adalah lebih lambat. Karena kami ingin mengenkripsi lalu lintas kami, akan ada beberapa perhitungan yang terlibat, yang menambah waktu. Ini berarti bahwa jika Anda tidak merancang sistem Anda dengan benar, situs web Anda akan terlihat lamban bagi pengguna.

Untuk menyimpulkan:

Saya punya situs konten-besar saja; tidak ada login atau logout, tidak ada nama pengguna, tidak ada alamat email, tidak ada area aman, tidak ada rahasia di situs, nada. Orang-orang hanya datang ke situs dan pergi dari halaman ke halaman dan melihat konten.

Jika ini masalahnya, saya tidak akan menggunakan SSL sama sekali. Saya ingin memiliki halaman saya ketika Anda mengklik itu terbuka dalam satu detik. Itu dari pengalaman pengguna. Anda melakukan apa yang Anda inginkan, saya hanya tidak menaruh sertifikat pada semua yang saya buat. Dalam kasus khusus ini, saya tidak akan menggunakannya sama sekali.

Selain manfaat yang disebutkan oleh orang lain, ada satu alasan yang akan membuat Anda beralih ke SSL kecuali Anda tidak peduli dengan pengunjung Anda yang menggunakan Chrome - versi baru Chrome (mulai dari akhir tahun sejauh yang saya ingat) adalah akan menampilkan peringatan (yang akan mengusir pengguna dari situs Anda) secara default untuk semua situs yang tidak menggunakan HTTPS.

//SUNTING:

Berikut ini tautan ke dua artikel yang lebih terperinci, meskipun sepertinya saya tidak dapat menemukan artikel yang saya baca ketika mereka berencana untuk secara resmi memperkenalkan fitur tersebut:

https://motherboard.vice.com/read/google-will-soon-shame-all-websites-that-are-unencrypted-chrome-https

http://www.pandasecurity.com/mediacenter/security/websites-that-arent-using-https/

Jawaban sederhananya adalah tidak ada alasan kuat untuk tidak melakukannya . Di masa lalu ada argumen tentang hanya menggunakan SSL jika benar-benar diperlukan (misalnya pada situs e-commerce yang mengumpulkan rincian pembayaran).

Ini sebagian besar berkaitan dengan prosedur instalasi untuk sertifikat SSL, biaya, beban tambahan pada server web, dan keterbatasan jaringan - pada saat orang tidak memiliki broadband dll. Tidak satu pun dari alasan ini yang benar-benar berlaku pada tahun 2016.

Dalam hal SEO, kita tahu bahwa tujuan dari kebanyakan mesin pencari adalah untuk memberikan hasil terbaik bagi pengguna mereka, dan ini dapat dilakukan dengan memberi mereka koneksi yang aman ke situs yang mereka jelajahi. Dalam hal ini mesin pencari tidak peduli apakah ada data "sensitif" di situs (baik disajikan, atau dikumpulkan); itu hanyalah kasus bahwa jika situs disajikan melalui HTTPS, setiap risiko potensial otentikasi dan enkripsi sangat diminimalkan, sehingga situs akan dianggap "lebih baik" daripada situs setara tanpa HTTPS.

Pada dasarnya, ini sangat sederhana dan mudah untuk diterapkan, itu hanya dilihat sebagai praktik terbaik saat ini. Sebagai pengembang web, saya hanya mempertimbangkan untuk menginstal sertifikat SSL dan kemudian memaksa semua permintaan melalui HTTPS (sangat mudah menggunakan .htaccess atau yang setara) menjadi bagian standar dari situs atau aplikasi web apa pun yang saya buat.

Selain jawaban lain, browser harus (seperti dalam RFC 2119) mengirim User-Agentheader. Ini memberikan informasi yang cukup tentang platform apa yang digunakan pengguna jika ia mengirim yang sebenarnya User-Agent. Jika Eve dapat menguping permintaan yang dibuat oleh Alice, dan Alice mengirimkan yang sebenarnya User-Agent, Eve akan tahu platform apa yang digunakan Alice tanpa Alice membuat koneksi ke server Eve. Akan lebih mudah untuk meretas komputer Alice dengan pengetahuan seperti itu.

Anda memiliki dua opsi untuk mengamankan domain utama Anda (mysite.com) dan sub-domainnya (play.mysite.com dan test.mysite.com). SSL tidak hanya untuk e-niaga, situs pembayaran pedagang tempat transaksi keuangan atau kredensial masuk dibagikan melalui situs web. Ini juga sama pentingnya untuk situs web berbasis konten. Penyerang selalu mencari situs web HTTP biasa atau celah di situs web. SSL tidak hanya menyediakan keamanan tetapi juga mengotentikasi situs web Anda. Manfaat utama memiliki SSL di situs web berbasis konten adalah bahwa,

• Anda dapat menghindari serangan man-in-middle yang dapat mengubah konten situs.

• Selain itu, situs web Anda akan memiliki keaslian yang memberi tahu pengunjung bahwa informasi mereka akan diamankan jika mereka berbagi dengan situs web tersebut.

• Mereka mendapat jaminan tentang keaslian situs web.

• Selain itu, situs web Anda akan bebas dari suntikan iklan jahat, eksploitasi, widget yang tidak diinginkan, penggantian perangkat lunak, dan kerusakan pada halaman web setelah Anda memiliki SSL di situs web Anda.

• Sertifikat SSL menawarkan stempel situs statis yang dapat ditempatkan pada halaman web mana pun untuk jaminan dan pelanggan dapat mengklik segel untuk mengetahui rincian sertifikat SSL yang dipasang.

Jawaban lain berbicara tentang manfaat HTTPS. Oleh apakah pengguna akan dipaksa untuk menggunakan HTTPS? Karena dua alasan:

• Jika Anda memberi pengguna opsi untuk tidak menggunakan HTTPS, mereka mungkin tidak akan melakukannya, terutama karena sebagian besar peramban default untuk http: // dan bukan https: // saat mengetikkan domain di bilah alamat.
• Dengan mengimplementasikan versi aman dan versi tidak aman, Anda meningkatkan permukaan serangan koneksi. Anda memberi penyerang kesempatan untuk melakukan serangan downgrade bahkan jika Anda berpikir bahwa Anda menggunakan versi aman.
• Jika Anda mengarahkan ulang setiap http: // URL ke https yang setara: // satu, itu membuat admin server dan mesin pencari lebih mudah. Tidak ada yang perlu khawatir tentang apakah http: // dan https: // dimaksudkan untuk setara atau dimaksudkan untuk menunjuk ke hal-hal yang sama sekali berbeda, dengan mengarahkan satu sama lain, jelas bagi semua orang apa URL dimaksudkan untuk digunakan.