Quel est l'avantage de forcer un site à se charger sur SSL (HTTPS)?

55

Disons que j'ai un grand site uniquement contenu; aucune connexion ou déconnexion, aucun nom d'utilisateur, aucune adresse e-mail, aucune zone sécurisée, rien de secret sur le site, nada. Les gens viennent simplement sur le site et vont de page en page et regardent le contenu.

Outre un léger sursaut dans le référencement de Google ( très léger, d'après ce que j'ai lu), y a-t-il un avantage à forcer le chargement du site via HTTPS?

Eric
la source
1
Je ne crois pas qu'il s'agisse d'un duplicata de Forcer l'utilisation de SSL sur le site maintenant? . Bien que certaines réponses puissent être similaires, cette question demande conseil sur l’utilisation ou non de SSL alors que cette question ne l’est pas. Au contraire, l’autre question devrait être fermée pour pouvoir être fondée sur une opinion.
Stephen Ostermiller
4
Inversons ceci: quel est l'avantage de NE PAS utiliser SSL? Il n'y en a pas que je sache. Oh, bien sûr, la mise en œuvre qui serait un one-off et prendre (comparativement à tout le reste) pas de temps. Donc, si une approche n’a pas d’inconvénients et d’autres avantages, l’autre n’a pas d’inconvénients et (selon vous) pas d’inconvénients, alors ... pourquoi rester avec ces derniers?
VLAZ
3
@Vld - performance. De nos jours, nous essayons souvent d’optimiser les temps de chargement initial du site à des performances inférieures à la seconde, avec un objectif de 1/2 seconde. Sur une connexion Internet légèrement lente (latence des paquets d’environ 100 ms), la négociation SSL peut facilement prendre 300 ms, ce qui peut vous pousser à atteindre un objectif de performance. Pour les utilisateurs mobiles, c'est pire: les réseaux mobiles ont des latences de paquets plus longues et le temps de traitement de la vérification de certification peut facilement atteindre quelques centaines de ms sur un téléphone plus lent.
Jules le
6
Les opérateurs de téléphonie mobile manipulent toujours le trafic HTTP non chiffré, que ce soit pour la compression (sur) l'image, l'injection de mauvais Javascript ou des en-têtes de contrôle de cache plus agressifs. HTTPS empêchera tout ce non-sens.
André Borie
2
@ Josef Pas vrai. HTTP / 2 fonctionne également sur les connexions non chiffrées. Aucun navigateur ne peut le faire, mais c'est la limitation du navigateur, pas HTTP / 2. Dire que "HTTP / 2 ne fonctionne que sur TLS" revient à dire que "la technologie X ne fonctionne pas car Internet Explorer ne l'implémente pas". Regardez où cela nous a pris.
Agent_L

Réponses:

84

HTTPS ne fournit pas seulement le secret (dont vous doutez de la valeur, même s'il a de bonnes raisons de le faire), mais également l' authenticité , qui a toujours de la valeur. Sans cela, un point d’accès / routeur / FAI / etc. peut réécrire n'importe quelle partie de votre site avant de l'afficher à l'utilisateur. Cela pourrait inclure:

  • injecter des publicités pour vos concurrents
  • injecter des publicités ou des widgets agaçants qui donnent une mauvaise image à votre site et nuisent à votre réputation
  • injecter des exploits pour effectuer des téléchargements malveillants de logiciels malveillants sur l'ordinateur du visiteur, qui (à juste titre!) vous en tient donc responsable
  • remplacement des téléchargements de logiciels de votre site par des logiciels malveillants fournis
  • baisser la qualité de vos images
  • supprimer certaines parties de votre site qu'ils ne veulent pas que vous voyiez, par exemple des éléments qui rivalisent avec leurs propres services ou qui sont mal représentés
  • etc.

Ne pas protéger vos utilisateurs de ces choses est irresponsable.

R ..
la source
27
@ Mike Pas vraiment. Il existe de nombreux logiciels disponibles dans le commerce pour cela, et tout cela gère parfaitement la décompression et la recompression.
ceejayoz
3
@ Mike Pas vraiment. Un proxy de réécriture complète peut décoder tout le trafic et injecter toutes les nouveautés souhaitées.
Nayuki
10
FYI la plupart, sinon tous, de mes exemples ont été vus dans la nature.
R ..
2
@DavidMulder votre premier commentaire disait " de la centralisation [...] pas une bonne chose"
jeudi
3
Pouvons-nous s'il vous plaît ne pas transformer les commentaires sur cette réponse en une incursion bikeshed-esque hors sujet sur des questions sans rapport?
R ..
25

"rien de secret sur le site"

... selon toi . Il y a peut-être une très bonne raison pour que quelqu'un veuille une connexion sécurisée. Cela crée (en partie) la vie privée:

Mon administrateur peut voir que je navigue sur certains sites d'images sur mon téléphone via une URL, mais il ne sait pas si je regarde des photos de chats mignons ou de porno hardcore. Je dirais que c'est une sacrée bonne vie privée. "un contenu" et "le contenu" peuvent faire toute la différence dans le monde. - Agent_L

Vous pourriez penser que c'est insignifiant, ou peut-être que ce n'est pas un gros problème maintenant, mais pourrait l'être à un autre moment. Je crois fermement que personne d'autre que moi et le site Web ne doivent savoir exactement ce que je fais.

Cela crée de la confiance. Avoir le cadenas est un signe de sécurité et peut signifier un certain degré de compétence en ce qui concerne le site Web, et donc vos produits.

Cela vous rend moins une cible pour par exemple les attaques MitM. La sécurité augmente.

Avec des initiatives telles que Let's Encrypt , qui rendent cela beaucoup plus facile et gratuit , il n’ya pas beaucoup d’inconvénients. La puissance du processeur utilisée par SSL est négligeable de nos jours.

Martijn
la source
11
Malheureusement, SSL n’empêche pas le service informatique de l’entreprise, votre fournisseur d’accès Internet ou les personnes du réseau public wifi avec vous de savoir quels sites vous visitez. Les recherches DNS sont toujours effectuées en clair . S'ils ne peuvent pas voir le contenu, ni l'URL exacte, ni que vous utilisez même un navigateur Web, ils peuvent voir que vous accédez à penisland.com (qui est, bien sûr, un site pour les passionnés de stylo, mais pourrait être mal interprétée). L'utilisation d'un proxy VPN ou SOCKS5 protégera vos requêtes DNS.
Schwern
3
@Martijn: avec l'indication du nom du serveur (prise en charge par tous les navigateurs modernes), le nom d'hôte du site Web est lui-même envoyé en clair dans le cadre de la négociation HTTPS. Ce n'est pas simplement une question d'attaques latérales et ne peut pas être atténué avec, par exemple, DNSsec.
Kevin
3
@Schwern Je n'ai jamais compris l'argument selon lequel HTTPS ne protège pas le nom d'hôte, car la recherche DNS, le SNI et le certificat du serveur sont en clair. Bien sûr, cela est vrai comme indiqué, mais le texte brut HTTP n’est en aucun cas meilleur à cet égard!
un CVn
5
@Schwern Mon administrateur peut voir que je navigue sur tumblr sur mon téléphone, mais il ne sait pas si je regarde des photos de chats mignons ou du porno hardcore. Je dirais que c'est une sacrée bonne vie privée. "un contenu" et "le contenu" peuvent faire toute la différence dans le monde.
Agent_L
2
@Agent_L Non, même ce n'est pas un bon conseil. Si vous allez sur https://penisland.tumblr.com/votre navigateur, vous ferez une requête penisland.tumblr.comDNS que l'administrateur réseau pourra voir, sauf si vous avez protégé vos requêtes DNS. Ensuite, votre navigateur doit obtenir les images, Javascript, CSS et les annonces de différents domaines qui génèrent plus de requêtes DNS. Ils pourraient être de n'importe quel domaine. Les quelques domaines du porno Tumblr que j'ai essayés n'ont rien d'évident, mais Tumblr a tendance à héberger des images et des vidéos en interne, mais vous ne pouvez pas vous fier à cela pour la confidentialité.
Schwern
12

Vous bénéficiez du support HTTP / 2 , le nouveau standard Web conçu pour améliorer considérablement les vitesses de chargement des sites Web .

Les fabricants de navigateurs ayant choisi de prendre en charge HTTP / 2 uniquement via HTTPS, l'activation de HTTPS (sur un serveur prenant en charge HTTP / 2) est le seul moyen d'obtenir cette mise à niveau rapide.

utilisateur2428118
la source
1
C'est assez énorme et il faut en faire plus. Cela constitue une analyse de rentabilisation pour le chargement HTTPS uniquement que la plupart des gestionnaires peuvent obtenir.
Dewi Morgan
10

(Extraits de ma réponse à une question similaire.)


HTTPS peut réaliser deux choses:

  • Authentification . S'assurer que le visiteur communique avec le propriétaire du domaine réel.
  • Le cryptage . S'assurer que seuls le propriétaire du domaine et le visiteur peuvent lire leur communication.

Tout le monde convient probablement que HTTPS devrait être obligatoire lors de la transmission de secrets (tels que mots de passe, données bancaires, etc.), mais même si votre site ne traite pas de tels secrets, il existe plusieurs autres cas où et pourquoi l'utilisation de HTTPS peut être bénéfique.

Les attaquants ne peuvent pas altérer le contenu demandé.

Lors de l'utilisation de HTTP, des oreilles indiscrètes peuvent manipuler le contenu que vos visiteurs voient sur votre site Web. Par exemple:

  • Inclure les logiciels malveillants dans le logiciel que vous proposez de télécharger (ou, si vous ne proposez aucun téléchargement de logiciel, les pirates informatiques commencent à le faire).
  • Censure une partie de votre contenu. Changer vos expressions d'opinion.
  • Injecter des publicités.
  • Remplacer les données de votre compte de dons par les leurs.

HTTPS peut empêcher cela.

Les attaquants ne peuvent pas lire le contenu demandé.

Lors de l'utilisation de HTTP, les oreilles indiscrètes peuvent savoir à quelles pages / quels contenus de votre hôte vos visiteurs ont accès. Bien que le contenu lui-même puisse être public, il peut être problématique de savoir que quelqu'un le consomme:

  • Il ouvre un vecteur d'attaque pour l'ingénierie sociale .
  • Cela porte atteinte à la vie privée.
  • Cela peut mener à la surveillance et à la punition (jusqu’à l’emprisonnement, à la torture, à la mort).

Ceci, bien sûr, dépend de la nature de votre contenu, mais ce qui semble être un contenu sans danger pour vous peut être interprété différemment par d'autres parties.

Mieux vaut prévenir que guérir. HTTPS peut empêcher cela.

unor
la source
1
En effet, HTTPS peut l’ empêcher. Dans certaines situations, il se peut que non. Voir Lenovo Superfish pour un exemple assez récent.
un CVn
@ MichaelKjörling: Oui, j'en suis conscient (c'est pourquoi je me suis assuré d'utiliser "peut";)), mais c'est un problème lié au comportement du visiteur, pas un problème lié à HTTPS ni à la manière dont le webmaster utilise c'est ça? Le visiteur doit se préoccuper des autorités de certification à qui faire confiance (et le logiciel à installer, en particulier s'il est autorisé à manipuler la liste des autorités de certification à qui faire confiance).
Unor
En effet; Je ne discute pas contre votre argument, je ne fais qu'ajouter!
un CVn
6

Il empêche les attaques de type homme du milieu qui vous font penser que vous visitez votre site, mais présentent une page provenant d'une autre page et pouvant tenter d'obtenir des informations de votre part. Les données étant cryptées, il est également plus difficile pour un attaquant de manipuler la page telle que vous la voyez.

Parce que vous avez besoin d’un certificat SSL, cela signifie que vous êtes au moins le propriétaire du site, ce qui permet au moins de vérifier votre identité.

Rob
la source
3

Des entreprises de marketing comme Hitwise paient leurs fournisseurs d’accès Internet pour recueillir des données sur votre site lorsque vous n’utilisez pas le protocole SSL. Les données sur votre site sont collectées et vous ne le savez peut-être pas:

  • données démographiques des utilisateurs
  • statistiques de visiteurs
  • pages populaires
  • Mots-clés des moteurs de recherche (avec "non fourni", cela pose moins de problèmes de nos jours)
Stephen Ostermiller
la source
3

Et, pour ajouter une dernière chose à toutes les réponses, je parlerai simplement de latence. Parce que, il semble que personne n'a écrit ici à ce sujet.

Une latence HTTP faible entre le client et le serveur est essentielle pour créer des sites Web réactifs et à chargement rapide.

TCP / IP seul a une liaison à 3 voies (la configuration initiale de la connexion pour un protocole HTTP via TCP absolu nécessite 3 paquets). Lorsque SSL / TLS est utilisé, la configuration de la connexion est plus complexe, ce qui signifie que la latence pour les nouvelles connexions HTTPS est inévitablement supérieure à HTTP en texte brut.

Le problème avec HTTP est que ce n’est pas sûr. Donc, si vous avez des données sensibles, vous avez besoin d'une forme de sécurité. Lorsque vous tapez quelque chose dans votre navigateur Web commençant par «https», vous demandez à votre navigateur d’utiliser une couche de chiffrement pour protéger le trafic. Cela fournit une protection raisonnable contre les oreilles indiscrètes, mais le problème est qu’elle sera plus lente. Puisque nous voulons chiffrer notre trafic, des calculs sont nécessaires, ce qui ajoute du temps. Cela signifie que si vous ne concevez pas votre système correctement, votre site Web paraîtra lent aux utilisateurs.

De conclure:

J'ai un grand site uniquement contenu; aucune connexion ou déconnexion, aucun nom d'utilisateur, aucune adresse e-mail, aucune zone sécurisée, rien de secret sur le site, nada. Les gens viennent simplement sur le site et vont de page en page et regardent le contenu.

Si tel est le cas, je n'utiliserai pas du tout le protocole SSL. Je voudrais avoir ma page lorsque vous cliquez dessus pour qu'elle s'ouvre en une seconde. C'est de l'expérience utilisateur. Vous faites ce que vous voulez, je ne mets pas de certificats sur tout ce que je fabrique. Dans ce cas particulier, je ne l'utiliserais pas du tout.

Josip Ivic
la source
OMI, c'est une réponse tout aussi correcte que celle qui obtient tous les votes.
Michael Yaeger
youtube.com/watch?v=e6DUrH56g14 mentionne certaines techniques permettant d'atténuer l'impact sur les performances, même si vous (ou une grande partie de vos clients) ne pouvez pas utiliser HTTP / 2 pour une raison quelconque.
un CVn
1

Outre les avantages mentionnés par d'autres utilisateurs, il existe une raison qui vous poussera à passer à SSL à moins que vous ne vous préoccupiez pas de vos visiteurs qui utilisent Chrome: les nouvelles versions de Chrome (à partir de la fin de l'année, si je me souviens bien): va afficher un avertissement (qui éloignera les utilisateurs de votre site) par défaut pour tous les sites qui n'utilisent pas le protocole HTTPS.

//MODIFIER:

Voici des liens vers deux articles plus détaillés, bien que je n'arrive pas à trouver celui que j'ai lu au moment où ils prévoient d'introduire officiellement la fonctionnalité:

https://motherboard.vice.com/read/google-will-soon-shame-all-websites-that-are-un- crypted-chrome-https

http://www.pandasecurity.com/mediacenter/security/websites-that-arent-using-https/

Marteau de forgeron
la source
Ce n'est pas une citation parfaite pour la revendication faite dans la réponse, mais il y a toujours Marquage HTTP comme non sécurisé .
un CVn
1

La réponse simple est qu'il n'y a aucune bonne raison de ne pas le faire . Dans le passé, il y avait des arguments sur l'utilisation de SSL uniquement lorsque cela était absolument nécessaire (par exemple, sur des sites de commerce électronique collectant des informations de paiement).

Celles-ci étaient en grande partie liées à la procédure d'installation des certificats SSL, au coût, à la charge supplémentaire sur le serveur Web et aux limitations du réseau - à une époque où les gens ne disposaient pas du haut débit, etc. Aucune de ces raisons ne s'applique vraiment en 2016.

En termes de référencement, nous savons que l'objectif de la plupart des moteurs de recherche est de fournir les meilleurs résultats à leurs utilisateurs. Pour ce faire, vous pouvez leur attribuer une connexion sécurisée au site qu'ils consultent. À cet égard, les moteurs de recherche ne se soucient pas de savoir s’il existe des données "sensibles" sur le site (présentées ou collectées); il est tout simplement que si le site est desservi par HTTPS, les risques potentiels d'authentification et de cryptage sont considérablement minimisés, de sorte que le site serait considéré comme "meilleur" que le site équivalent sans HTTPS.

Essentiellement, sa mise en œuvre est si simple et directe qu’elle est considérée aujourd'hui comme une pratique exemplaire. En tant que développeur Web, j’envisage simplement d’installer un certificat SSL, puis de forcer toutes les demandes via HTTPS (très facile à utiliser .htaccess ou un équivalent) à faire partie intégrante de tout site ou application Web que je construis.

Andy
la source
1

En plus des autres réponses, les navigateurs devraient (comme dans RFC 2119) envoyer l'en- User-Agenttête. Il fournit suffisamment d'informations sur la plate-forme qu'un utilisateur utilise s'il envoie le résultat User-Agent. Si Eve peut écouter une demande d'Alice et si Alice l'envoie User-Agent, elle saura quelle plate-forme Alice utilise sans qu'Alice se connecte au serveur d'Eve. Il sera plus facile de pirater l'ordinateur d'Alice avec une telle connaissance.

v7d8dpo4
la source
Cela revient un peu à dire que si Eve peut voir le numéro VIN de la voiture d’Alice à travers le pare-brise de la voiture, il est plus facile pour elle de faire irruption dans la voiture d’Alice, car ce numéro lui permet de connaître la marque et le modèle de voiture d’Alice. Bien sûr, c'est une possibilité, mais il existe une multitude de moyens pour obtenir à peu près la même information sans MITMing, de manière à enregistrer à peine plus que le bruit de fond Internet pour un nœud feuille du réseau. Par exemple: Eve (ou peut-être Mallory) pourrait envoyer à Alice un lien vers une page Web sous leur contrôle. Les gens aiment cliquer sur les liens.
un CVn
1

Vous avez deux options pour sécuriser votre domaine principal (mysite.com) et ses sous-domaines (play.mysite.com et test.mysite.com). SSL n'est pas uniquement destiné aux sites de commerce électronique et aux sites de paiement où les transactions financières ou les identifiants de connexion sont partagés sur le site Web. Il est tout aussi important pour un site Web basé sur le contenu. Les pirates cherchent toujours un site Web HTTP simple ou une échappatoire dans le site Web. SSL non seulement assure la sécurité mais authentifie également votre site Web. Le principal avantage de l’utilisation de SSL sur les sites Web basés sur le contenu est que,

  • Vous pouvez éviter les attaques de type intermédiaire qui peuvent altérer le contenu du site.

  • En outre, votre site Web aura une authenticité qui informe les visiteurs que leurs informations seront protégées s'ils partagent avec le site.

  • Ils obtiennent l'assurance de l'authenticité du site.

  • De plus, votre site Web ne contiendra plus d'injection de publicités malveillantes, d'exploits, de widgets indésirables, de logiciels de remplacement et de dommages aux pages Web une fois que vous aurez le protocole SSL sur votre site Web.

  • Le certificat SSL offre un sceau de site statique qui peut être placé sur n’importe quelle page Web à des fins d’assurance. Les clients peuvent cliquer sur le sceau pour connaître les détails du certificat SSL installé.

Jason Parms
la source
1

D'autres réponses ont parlé des avantages de HTTPS. Par un utilisateur serait-il obligé d'utiliser HTTPS? Pour deux raisons:

  • Si vous donnez aux utilisateurs la possibilité de ne pas utiliser HTTPS, ils ne le feront probablement pas, d'autant plus que la plupart des navigateurs utilisent par défaut http: // et non https: // lors de la saisie d'un domaine dans la barre d'adresse.
  • En implémentant à la fois une version sécurisée et une version non sécurisée, vous augmentez la surface d'attaque de la connexion. Vous donnez aux attaquants la possibilité d'effectuer une attaque par rétrogradation, même si vous pensez que vous utilisez la version sécurisée.
  • Si vous redirigez chaque URL http: // vers l'URL équivalente: https: //, cela simplifie la vie de l'administrateur du serveur et des moteurs de recherche. Personne ne doit s'inquiéter de savoir si http: // et https: // sont censés être équivalents ou pour indiquer des choses complètement différentes. En redirigeant les uns vers les autres, il est évident pour tout le monde que les URL doivent être utilisées.
Flimm
la source