Disons que j'ai un grand site uniquement contenu; aucune connexion ou déconnexion, aucun nom d'utilisateur, aucune adresse e-mail, aucune zone sécurisée, rien de secret sur le site, nada. Les gens viennent simplement sur le site et vont de page en page et regardent le contenu.
Outre un léger sursaut dans le référencement de Google ( très léger, d'après ce que j'ai lu), y a-t-il un avantage à forcer le chargement du site via HTTPS?
Réponses:
HTTPS ne fournit pas seulement le secret (dont vous doutez de la valeur, même s'il a de bonnes raisons de le faire), mais également l' authenticité , qui a toujours de la valeur. Sans cela, un point d’accès / routeur / FAI / etc. peut réécrire n'importe quelle partie de votre site avant de l'afficher à l'utilisateur. Cela pourrait inclure:
Ne pas protéger vos utilisateurs de ces choses est irresponsable.
la source
... selon toi . Il y a peut-être une très bonne raison pour que quelqu'un veuille une connexion sécurisée. Cela crée (en partie) la vie privée:
Vous pourriez penser que c'est insignifiant, ou peut-être que ce n'est pas un gros problème maintenant, mais pourrait l'être à un autre moment. Je crois fermement que personne d'autre que moi et le site Web ne doivent savoir exactement ce que je fais.
Cela crée de la confiance. Avoir le cadenas est un signe de sécurité et peut signifier un certain degré de compétence en ce qui concerne le site Web, et donc vos produits.
Cela vous rend moins une cible pour par exemple les attaques MitM. La sécurité augmente.
Avec des initiatives telles que Let's Encrypt , qui rendent cela beaucoup plus facile et gratuit , il n’ya pas beaucoup d’inconvénients. La puissance du processeur utilisée par SSL est négligeable de nos jours.
la source
https://penisland.tumblr.com/
votre navigateur, vous ferez une requêtepenisland.tumblr.com
DNS que l'administrateur réseau pourra voir, sauf si vous avez protégé vos requêtes DNS. Ensuite, votre navigateur doit obtenir les images, Javascript, CSS et les annonces de différents domaines qui génèrent plus de requêtes DNS. Ils pourraient être de n'importe quel domaine. Les quelques domaines du porno Tumblr que j'ai essayés n'ont rien d'évident, mais Tumblr a tendance à héberger des images et des vidéos en interne, mais vous ne pouvez pas vous fier à cela pour la confidentialité.Vous bénéficiez du support HTTP / 2 , le nouveau standard Web conçu pour améliorer considérablement les vitesses de chargement des sites Web .
Les fabricants de navigateurs ayant choisi de prendre en charge HTTP / 2 uniquement via HTTPS, l'activation de HTTPS (sur un serveur prenant en charge HTTP / 2) est le seul moyen d'obtenir cette mise à niveau rapide.
la source
(Extraits de ma réponse à une question similaire.)
HTTPS peut réaliser deux choses:
Tout le monde convient probablement que HTTPS devrait être obligatoire lors de la transmission de secrets (tels que mots de passe, données bancaires, etc.), mais même si votre site ne traite pas de tels secrets, il existe plusieurs autres cas où et pourquoi l'utilisation de HTTPS peut être bénéfique.
Les attaquants ne peuvent pas altérer le contenu demandé.
Lors de l'utilisation de HTTP, des oreilles indiscrètes peuvent manipuler le contenu que vos visiteurs voient sur votre site Web. Par exemple:
HTTPS peut empêcher cela.
Les attaquants ne peuvent pas lire le contenu demandé.
Lors de l'utilisation de HTTP, les oreilles indiscrètes peuvent savoir à quelles pages / quels contenus de votre hôte vos visiteurs ont accès. Bien que le contenu lui-même puisse être public, il peut être problématique de savoir que quelqu'un le consomme:
Ceci, bien sûr, dépend de la nature de votre contenu, mais ce qui semble être un contenu sans danger pour vous peut être interprété différemment par d'autres parties.
Mieux vaut prévenir que guérir. HTTPS peut empêcher cela.
la source
Il empêche les attaques de type homme du milieu qui vous font penser que vous visitez votre site, mais présentent une page provenant d'une autre page et pouvant tenter d'obtenir des informations de votre part. Les données étant cryptées, il est également plus difficile pour un attaquant de manipuler la page telle que vous la voyez.
Parce que vous avez besoin d’un certificat SSL, cela signifie que vous êtes au moins le propriétaire du site, ce qui permet au moins de vérifier votre identité.
la source
Des entreprises de marketing comme Hitwise paient leurs fournisseurs d’accès Internet pour recueillir des données sur votre site lorsque vous n’utilisez pas le protocole SSL. Les données sur votre site sont collectées et vous ne le savez peut-être pas:
la source
Et, pour ajouter une dernière chose à toutes les réponses, je parlerai simplement de latence. Parce que, il semble que personne n'a écrit ici à ce sujet.
Une latence HTTP faible entre le client et le serveur est essentielle pour créer des sites Web réactifs et à chargement rapide.
TCP / IP seul a une liaison à 3 voies (la configuration initiale de la connexion pour un protocole HTTP via TCP absolu nécessite 3 paquets). Lorsque SSL / TLS est utilisé, la configuration de la connexion est plus complexe, ce qui signifie que la latence pour les nouvelles connexions HTTPS est inévitablement supérieure à HTTP en texte brut.
Le problème avec HTTP est que ce n’est pas sûr. Donc, si vous avez des données sensibles, vous avez besoin d'une forme de sécurité. Lorsque vous tapez quelque chose dans votre navigateur Web commençant par «https», vous demandez à votre navigateur d’utiliser une couche de chiffrement pour protéger le trafic. Cela fournit une protection raisonnable contre les oreilles indiscrètes, mais le problème est qu’elle sera plus lente. Puisque nous voulons chiffrer notre trafic, des calculs sont nécessaires, ce qui ajoute du temps. Cela signifie que si vous ne concevez pas votre système correctement, votre site Web paraîtra lent aux utilisateurs.
De conclure:
Si tel est le cas, je n'utiliserai pas du tout le protocole SSL. Je voudrais avoir ma page lorsque vous cliquez dessus pour qu'elle s'ouvre en une seconde. C'est de l'expérience utilisateur. Vous faites ce que vous voulez, je ne mets pas de certificats sur tout ce que je fabrique. Dans ce cas particulier, je ne l'utiliserais pas du tout.
la source
Outre les avantages mentionnés par d'autres utilisateurs, il existe une raison qui vous poussera à passer à SSL à moins que vous ne vous préoccupiez pas de vos visiteurs qui utilisent Chrome: les nouvelles versions de Chrome (à partir de la fin de l'année, si je me souviens bien): va afficher un avertissement (qui éloignera les utilisateurs de votre site) par défaut pour tous les sites qui n'utilisent pas le protocole HTTPS.
//MODIFIER:
Voici des liens vers deux articles plus détaillés, bien que je n'arrive pas à trouver celui que j'ai lu au moment où ils prévoient d'introduire officiellement la fonctionnalité:
https://motherboard.vice.com/read/google-will-soon-shame-all-websites-that-are-un- crypted-chrome-https
http://www.pandasecurity.com/mediacenter/security/websites-that-arent-using-https/
la source
La réponse simple est qu'il n'y a aucune bonne raison de ne pas le faire . Dans le passé, il y avait des arguments sur l'utilisation de SSL uniquement lorsque cela était absolument nécessaire (par exemple, sur des sites de commerce électronique collectant des informations de paiement).
Celles-ci étaient en grande partie liées à la procédure d'installation des certificats SSL, au coût, à la charge supplémentaire sur le serveur Web et aux limitations du réseau - à une époque où les gens ne disposaient pas du haut débit, etc. Aucune de ces raisons ne s'applique vraiment en 2016.
En termes de référencement, nous savons que l'objectif de la plupart des moteurs de recherche est de fournir les meilleurs résultats à leurs utilisateurs. Pour ce faire, vous pouvez leur attribuer une connexion sécurisée au site qu'ils consultent. À cet égard, les moteurs de recherche ne se soucient pas de savoir s’il existe des données "sensibles" sur le site (présentées ou collectées); il est tout simplement que si le site est desservi par HTTPS, les risques potentiels d'authentification et de cryptage sont considérablement minimisés, de sorte que le site serait considéré comme "meilleur" que le site équivalent sans HTTPS.
Essentiellement, sa mise en œuvre est si simple et directe qu’elle est considérée aujourd'hui comme une pratique exemplaire. En tant que développeur Web, j’envisage simplement d’installer un certificat SSL, puis de forcer toutes les demandes via HTTPS (très facile à utiliser .htaccess ou un équivalent) à faire partie intégrante de tout site ou application Web que je construis.
la source
En plus des autres réponses, les navigateurs devraient (comme dans RFC 2119) envoyer l'en-
User-Agent
tête. Il fournit suffisamment d'informations sur la plate-forme qu'un utilisateur utilise s'il envoie le résultatUser-Agent
. Si Eve peut écouter une demande d'Alice et si Alice l'envoieUser-Agent
, elle saura quelle plate-forme Alice utilise sans qu'Alice se connecte au serveur d'Eve. Il sera plus facile de pirater l'ordinateur d'Alice avec une telle connaissance.la source
Vous avez deux options pour sécuriser votre domaine principal (mysite.com) et ses sous-domaines (play.mysite.com et test.mysite.com). SSL n'est pas uniquement destiné aux sites de commerce électronique et aux sites de paiement où les transactions financières ou les identifiants de connexion sont partagés sur le site Web. Il est tout aussi important pour un site Web basé sur le contenu. Les pirates cherchent toujours un site Web HTTP simple ou une échappatoire dans le site Web. SSL non seulement assure la sécurité mais authentifie également votre site Web. Le principal avantage de l’utilisation de SSL sur les sites Web basés sur le contenu est que,
Vous pouvez éviter les attaques de type intermédiaire qui peuvent altérer le contenu du site.
En outre, votre site Web aura une authenticité qui informe les visiteurs que leurs informations seront protégées s'ils partagent avec le site.
Ils obtiennent l'assurance de l'authenticité du site.
De plus, votre site Web ne contiendra plus d'injection de publicités malveillantes, d'exploits, de widgets indésirables, de logiciels de remplacement et de dommages aux pages Web une fois que vous aurez le protocole SSL sur votre site Web.
Le certificat SSL offre un sceau de site statique qui peut être placé sur n’importe quelle page Web à des fins d’assurance. Les clients peuvent cliquer sur le sceau pour connaître les détails du certificat SSL installé.
la source
D'autres réponses ont parlé des avantages de HTTPS. Par un utilisateur serait-il obligé d'utiliser HTTPS? Pour deux raisons:
la source