С 2020 года все сайты должны использовать SSL.
- Сертификаты предоставляются Let's Encrypt бесплатно с 2016 года.
- Chrome и Firefox с 2018 года отмечают простые HTTP-сайты как небезопасные.
- Google с 2017 года налагает штрафы на SEO для простых HTTP-сайтов.
Иногда утверждают, что сайты, которые публикуют только общедоступную информацию с низким уровнем ценности, низким уровнем доверия и доступной только для чтения, должны по-прежнему использовать HTTP, но они также должны использовать HTTPS. HTTP-контент по-прежнему может позволять злоумышленникам вставлять в контент вредоносное или рекламное ПО или перенаправлять. Некоторые крупные интернет-провайдеры размещают рекламу на HTTP-страницах для всех своих клиентов; это потенциальная проблема, если вредоносная реклама проскользнет в их ленту.
Рекомендуется корпоративная политика в отношении всего использования SSL без особых исключений. Стандарты безопасности (PCI-DSS, ISO, аудит big4 и т. д.) предполагают шифрование для систем, работающих с конфиденциальной информацией, и отсутствие это считается красным флагом.
Вам также следует взглянуть на развертывание HTTP Strict Transport Security, чтобы даже при первом запросе пользователя вводить example.com
отправляется по HTTPS.
Атаки типа «человек посередине» представляют собой реальную проблему, особенно в сетях Wi-Fi, но также и на уровне интернет-провайдеров и страны. Если ваш сайт использует только SSL для входа в систему, а затем возвращает файл cookie сеанса по незашифрованной ссылке, этот файл cookie сеанса не только может быть украден, но и будет украден. См. Firesheep для наглядной демонстрации.
SSL безопасно кэшируется для каждого пользователя либо на сеанс, либо на неопределенный срок. Кэширование прокси на стороне клиента сейчас редко, и оптимизация для этого случая не важна. Когда они действительно существуют, они обычно ошибаются, и обход их через SSL имеет смысл.
Правильно реализованный SSL или SPDY может быть быстрым: накладные расходы на сервер невелики и легко переносятся на отдельный обратный прокси-сервер. Есть SSL CDN.
Для сайтов, предназначенных только для разработчиков и тестировщиков, нет необходимости покупать настоящие сертификаты. Стоимость сертификатов в несколько десятков долларов незначительна даже для некоммерческих сайтов.
Шифрование данных в сети - полезный уровень глубокой защиты. Очевидно, что одного этого недостаточно для обеспечения безопасности службы, но он устраняет некоторые виды проблем и имеет низкую стоимость.
Даже для данных, предназначенных только для чтения, клиентам важно знать, что они получают подлинный сайт: например, если они загружают двоичные файлы, вы не хотите, чтобы трояны вставлялись.
Безопасное различение страниц, для которых требуется SSL, от тех, которые не требуют усилий разработчика, которые почти наверняка можно было бы использовать лучше.
Превращение стандартов в смирительную рубашку для различных систем, особенно без консультации, редко бывает желательно, но должно быть строгое значение по умолчанию для всего, что связано с SSL.
Хорошие примеры индивидуальных исключений, когда вы все равно должны предлагать SSL, но не принудительно перенаправлять:
сайт обслуживает большие двоичные загрузки (музыка / видео / дистрибутивы программного обеспечения), поэтому важно обеспечить большее кэширование и более быструю загрузку (показать данные) - важно, чтобы двоичные файлы не изменялись при передаче, и это обеспечивает защиту подробно с другой проверкой
клиенты - это архаичный IE или встроенные клиенты, которые просто не могут адекватно использовать SSL - в 2020 году такие клиенты будут очень старыми (и, вероятно, опасными)
на сайте очень много ресурсов, и вы хотите, чтобы роботы индексировали его через HTTPS - Google и, вероятно, другие боты справятся, если вы принудительно установите все на HTTPS
Если вы везде будете использовать SSL, вы будете использовать еще несколько машинных ресурсов, и это можно будет оптимизировать, если они станут важными. Если вы не используете SSL, вы либо тратите больше ресурсов разработчика на рассмотрение вопросов безопасности в каждом конкретном случае, либо, скорее всего, вы будете более склонны к краже учетной записи.
Адам Лэнгли из Google писал в 2010 году:
Если есть что-то, о чем мы хотим сообщить миру, так это то, что SSL / TLS больше не требует больших вычислительных затрат. Десять лет назад это могло быть правдой, но теперь это уже не так. Вы тоже можете позволить себе включить HTTPS для своих пользователей.
В январе этого года (2010) Gmail по умолчанию перешел на использование HTTPS для всего. Раньше это было опционально, но теперь все наши пользователи постоянно используют HTTPS для защиты своей электронной почты между браузерами и Google. Для этого нам не пришлось развертывать дополнительные машины и специальное оборудование. На наших рабочих интерфейсных машинах на SSL / TLS приходится менее 1% загрузки ЦП, менее 10 КБ памяти на каждое соединение и менее 2% накладных расходов сети. Многие люди считают, что SSL требует много процессорного времени, и мы надеемся, что приведенные выше цифры (общедоступные впервые) помогут развеять это.
person
poolie
schedule
30.07.2012