16

หนึ่งสัปดาห์ก่อน Google ส่งอีเมลให้ฉันเพื่อใช้ HTTPS ถ้าฉันจะไม่ถ่ายโอน HTTP ไปยัง HTTPS มันจะแสดงการเชื่อมต่อของฉันที่ไม่ปลอดภัยแก่ผู้เยี่ยมชมเว็บไซต์ของฉันทั้งหมดที่จะพยายามป้อนข้อความในเว็บไซต์ของฉัน

หากไม่ใช้ SSL จะมีวิธีอื่นอีกไหมในการทำให้การเชื่อมต่อของฉันปลอดภัย เนื่องจากเกี่ยวข้องกับกระบวนการที่มีค่าใช้จ่ายสูงในการใช้ SSL ใน URL ของเว็บฉันกำลังค้นหาตัวเลือกอื่นแทน

security google-chrome forms

— Hasan M. Naheen
แหล่งที่มา

27

คุณดูที่letsencrypt.org แล้วหรือยัง? มันออกใบรับรอง HTTPS ฟรี เป็นเรื่องยากที่จะตั้งค่าจากศูนย์ แต่ บริษัท โฮสติ้งหลายแห่งได้ดำเนินการให้คุณแล้ว

— Stephen Ostermiller

6

นอกจากนี้คุณยังสามารถใช้ cloudflare ซึ่งจะให้ใบรับรอง SSL ฟรีแก่คุณ

— Ave

2

คำถามไม่ใช่ "วิธีใช้ HTTPS" แต่กว้างกว่านั้น: ถ้าhttp://ไม่ตกลงมีhttps://อะไรอีกบ้าง? มีabc://, lgbtqiapk+://หรือdps://?

— Konerak

4

"กระบวนการราคาแพง" หรือไม่ ขอเข้ารหัสฟรี นอกจากนี้: doesmysiteneedhttps.com

— Andrea Lazzarotto

41

มีวิธีอื่นที่จะทำให้การเชื่อมต่อของฉันปลอดภัยหรือไม่?

Google ไม่ได้เพียงแค่บ่นเกี่ยวกับ "ความปลอดภัย" (ซึ่งอาจรวมถึงหัวข้อที่แตกต่างกันจำนวนมาก) แต่เป็นเป้าหมายเฉพาะการเข้ารหัส / HTTPS ด้วย HTTP ธรรมดาการเชื่อมต่อระหว่างไคลเอนต์และเซิร์ฟเวอร์จะไม่ถูกเข้ารหัสทำให้ทุกคนสามารถเห็นและสกัดกั้นสิ่งที่ถูกส่ง โดยปกติจะแจ้งให้คุณทราบเมื่อคุณอนุญาตให้ผู้ใช้ลงชื่อเข้าใช้ (เช่นส่งชื่อผู้ใช้ / รหัสผ่าน) หรือส่งข้อมูลการชำระเงินผ่านการเชื่อมต่อที่ไม่ได้เข้ารหัส การส่งแบบฟอร์ม "ข้อความ" ทั่วไปไม่จำเป็นต้องเป็นปัญหา อย่างไรก็ตามตามที่ @Kevin ชี้ให้เห็นในความคิดเห็นGoogle / Chrome มีแผนที่จะขยายในอนาคต :

ในที่สุดเราวางแผนที่จะติดป้ายกำกับหน้า HTTP ทั้งหมดว่าไม่ปลอดภัยและเปลี่ยนตัวบ่งชี้ความปลอดภัย HTTP เป็นสามเหลี่ยมสีแดงที่เราใช้สำหรับ HTTPS ที่ใช้งานไม่ได้

การติดตั้งใบรับรอง SSL บนเว็บไซต์ของคุณ (หรือใช้พร็อกซี Front-end เช่น Cloudflare เพื่อจัดการ SLL) เป็นวิธีเดียวที่จะเข้ารหัสปริมาณการใช้งานเว็บไซต์ของคุณ

อย่างไรก็ตามสิ่งเหล่านี้ไม่ได้เป็น "กระบวนการที่มีราคาแพง" ในทุกวันนี้ Cloudflare มีตัวเลือก "ฟรี" และLet's Encryptเป็นผู้ออกใบรับรองฟรีที่โฮสต์หลายแห่งสนับสนุนตามค่าเริ่มต้น

— DocRoot
แหล่งที่มา

3

"ตามปกติแล้วจะแจ้งให้คุณทราบเมื่อคุณอนุญาตให้ผู้ใช้ลงชื่อเข้าใช้ (ส่งชื่อผู้ใช้ / รหัสผ่าน) หรือส่งข้อมูลส่วนบุคคลผ่านการเชื่อมต่อที่ไม่ได้เข้ารหัส" ข้อความ "ทั่วไปไม่จำเป็นต้องเป็นปัญหา" สิ่งนี้จะไม่เป็นจริงอีกต่อไป Chrome จะแสดงคำเตือนสำหรับช่องป้อนข้อความใด ๆ ไม่สามารถบอกความแตกต่างระหว่างข้อมูลที่มีความละเอียดอ่อนและสิ่งที่ไม่เป็นอันตรายเช่นการค้นหาหลังจากทั้งหมดดังนั้นการตัดสินใจจึงเตือนเพียงแค่ทุกสิ่ง

— Muzer

2

@ Muzer โดยทั่วไปแล้วมันไม่สามารถตัดสินได้หากการป้อนข้อความมีความละเอียดอ่อน - ถ้าฉันพิมพ์ที่อยู่บ้านของฉันหรือค้นหาปัญหาทางการแพทย์ที่น่าอับอายของฉัน

— apsillers

6

ในที่สุด Chrome จะแสดงคำเตือนนี้สำหรับไซต์ HTTP ทั้งหมดดังนั้นจึงไม่มีทางเลือกอื่นในระยะยาวสำหรับ HTTPS

— เควิน

3

คำตอบนี้หายไปจากข้อได้เปรียบที่ใหญ่ที่สุดเพื่อ HTTPS มากกว่าการเข้ารหัสแบบ end-to-end ธรรมดาซึ่งเป็นตัวตน HTTPS ช่วยให้เซิร์ฟเวอร์ของคุณพิสูจน์ให้ลูกค้าเห็นว่าเป็นเซิร์ฟเวอร์จริงที่อ้างว่าไม่ต้องจัดเตรียมวิธีการตรวจสอบสิทธิ์ล่วงหน้า การเข้ารหัสจากต้นทางถึงปลายทางด้วยตนเองไม่ได้ช่วยหากลูกค้าเชื่อมต่อกับเซิร์ฟเวอร์โดยนักแสดงที่เป็นอันตราย

— IllusiveBrian

4

@IllusiveBrian แม้ว่าคำถามนี้ไม่ได้เกี่ยวกับ "ข้อดีของ HTTPS" (มีคำถามที่มีอยู่แล้วซึ่งครอบคลุมอยู่แล้ว) คำถามนี้เกี่ยวกับการพยายามหลีกเลี่ยง "คำเตือน" ความปลอดภัยของเบราว์เซอร์ใน Google / Chrome แต่ HTTPS ไม่จำเป็นต้อง "พิสูจน์ตัวตน" - เพื่อทำเช่นนั้นคุณจะต้องจ่ายเงินเพิ่มสำหรับใบรับรอง OV หรือ EV ในบริบทของคำถามนี้มันคือทั้งหมดที่เกี่ยวกับการเข้ารหัส

— DocRoot

4

ฉันไม่แนะนำ แต่คุณสามารถข้ามข้อความนี้ได้โดยไม่ต้องใช้ช่องข้อความต้นฉบับ คุณสามารถสร้างช่องป้อนข้อมูลของคุณเองโดยใช้ปกติdivที่มีonkeypressเหตุการณ์ หรือคุณสามารถสร้างdivองค์ประกอบที่มีชุดแอตทริบิวต์contenteditabletrue

ด้วยวิธีนี้ผู้ใช้จะสามารถป้อนข้อมูลในไซต์ของคุณโดยไม่ต้องใช้inputองค์ประกอบแท็ก

— Aminadav Glickshtein
แหล่งที่มา

41

นี่เป็นความคิดที่แย่จริงๆ ไม่ได้แก้ปัญหาความปลอดภัยที่ Google สนับสนุนให้คุณแก้ไขและมีแนวโน้มที่จะทำให้เกิดปัญหาสำหรับผู้ใช้ที่ใช้เว็บไซต์ของคุณในลักษณะที่แตกต่างกันเล็กน้อยกับวิธีที่คุณทดสอบ (เช่นเบราว์เซอร์อื่นโทรศัพท์ โปรแกรมอ่านหน้าจอเป็นต้น) นอกจากนี้ยังอาจแบ่งผู้จัดการรหัสผ่าน

— thelem

การโพสต์แบบฟอร์มจะเป็นปัญหากับวิธีนี้

— the_lotus

3

คุณไม่จำเป็นต้องโพสต์แบบฟอร์ม คุณสามารถใช้XMLlHTTPRequest(aka AJAX) เพื่อส่งข้อมูลได้

— Aminadav Glickshtein

18

ฉันจะเปลี่ยนคำตอบของคุณจาก "ไม่แนะนำ" เป็น "ไม่เคยทำเช่นนี้" คุณกำลังหลีกเลี่ยงมาตรฐานจำนวนมากที่ทำสิ่งนี้และคุณอาจไม่ได้สร้างเว็บแอปพลิเคชันอีกต่อไป

— Caimen

2

ฉันต้องการ 125 คะแนนเพื่อลงคะแนนสิ่งนี้จริง ๆ หรือไม่? oO

— Andrea Lazzarotto

4

หากคุณเพียงแค่ให้บริการไฟล์แบบคงที่หรือสามารถวางพร็อกซีไว้ข้างหน้าคุณสามารถใช้เซิร์ฟเวอร์เช่นเซิร์ฟเวอร์แคดดี้ซึ่งจัดการทั้งหมดนี้ให้คุณโดยใช้การเข้ารหัสช่วยให้คุณไม่ต้องยุ่งยากกับการจัดเตรียมใบรับรองและคุณไม่จำเป็นต้อง ติดตั้งซอฟต์แวร์อื่น ๆ

หรือคุณสามารถใช้บริการเช่นcloudflare - แผนฟรีของพวกเขาให้บริการ https ฟรี

สุดท้ายบางครอบครัวให้ฟรี https ใบรับรองในขณะนี้รวมทั้งDreamhost ดังนั้นตรวจสอบว่าโฮสต์ปัจจุบันของคุณมีตัวเลือกนี้หรือไม่

ฉันจะไม่แนะนำให้พยายามหาวิธีแก้ปัญหามีวิธีเดียวที่จะทำให้เว็บไซต์ของคุณปลอดภัยและในที่สุดเบราว์เซอร์ก็จะได้รับคำเตือนในทุก ๆ ไซต์ที่ไม่มี https ไม่ว่าเนื้อหาจะเป็นอย่างไร เว็บกำลังเคลื่อนไปสู่ https ทุกที่

— เคนนีแกรนท์
แหล่งที่มา

1

Firefox ได้เปิดตัวคำเตือนด้วยในหน้าล็อกอินที่ไม่ปลอดภัยและเบราว์เซอร์หลัก ๆ ทั้งหมดได้เลือกที่จะให้ http2 กับ https ที่สนับสนุนเท่านั้นซึ่งหมายความว่าโปรโตคอลรุ่นต่อไปจะเป็น https จริงเท่านั้น

— Kenny Grant

1

@closetnoc GoDaddy เป็นช่องทางในหลายทาง เรา (บริษัท webdev) เคยซื้อ certs ของเราในราคา€ 7 ต่อปีซึ่งแพงมาก แต่ไม่ใช่สำหรับร้อยเว็บไซต์ ตอนนี้เรากำลังใช้ Let's Encrypt และรับฟรีดังนั้นเราจึงใส่ SSL ไว้ในรายการทั้งหมด ลูกค้าของเราชอบมันและเราสนุกกับการใช้ HTTP / 2 ไม่เคยมีปัญหากับการต่ออายุ Certs 90 วันที่ผ่านมาและเราเริ่มพยายามต่ออายุทุกวันหลังจาก 60 วัน มีการทับซ้อนกันมากมายในกรณีที่มีบางอย่างผิดปกติ ใช้ Cloudflare หากคุณไม่ต้องการความยุ่งยาก

— Martijn Heemels

1

@closetnoc ssl เป็นมากกว่าการเข้ารหัส แต่ก็รับประกันความสมบูรณ์ความปลอดภัยและความเป็นส่วนตัวดังนั้นไม่สามารถมองเห็นสิ่งต่าง ๆ ในหน้าเว็บ (เช่นนายจ้างของคุณสถานะการอยู่รอด) หรือเปลี่ยนแปลง (เช่นโฆษณาที่ถูกแทรก) โดย MitM'er นอกจากนี้ยังป้องกันไม่ให้ผู้คนจาก MitMing ดมกลิ่นข้อมูลการตรวจสอบสิทธิ์เพื่อนของคุณ (ซึ่งอาจใช้เพื่ออัปโหลดเนื้อหาที่ไม่ต้องการไปยังไซต์) นอกจากนี้ Martijn ยังกล่าวอีกว่า GoDaddy เป็นแม่น้ำที่ใหญ่มากและโดยรวมก็ไม่เอื้ออำนวย ฉันขอแนะนำให้เพื่อนของคุณดูโดเมน google, namecheap และ gandi (ฉันไม่มีส่วนเกี่ยวข้องใด ๆ )

— Ave

1

@MartijnHeemels ฉันเห็นว่า GoDaddy แพงเกินไป ครั้งใหญ่! ดูเหมือนว่า Let's Encrypt เป็นวิธีที่จะนำไปใช้กับไซต์ส่วนใหญ่ที่มักมีเนื้อหาไม่สุภาพ ฉันสามารถดูว่าจะมีการตรวจสอบใบรับรองสำหรับบางเว็บไซต์ด้วยเช่นกัน คุณจะเชื่อว่าฉันเคยเป็นผู้มีอำนาจรับรอง? ฉันคิดว่าฉันชอบเมื่อมีคนมาปีหนึ่ง ฉันไม่เชื่อถือช่วงเวลาที่สั้นลง แต่วันนี้มีทางเลือกอะไรบ้าง? ไชโย !!

— Closnoc

1

@closetnoc ไม่ยากที่จะหาใบรับรอง SSL แบบชำระเงินจาก CA ที่ได้รับการยอมรับอย่างดีและมีอายุการใช้งาน 1 ปีราคา $ 10 ต่อชิ้น แต่เห็นได้ชัดว่าคุณจะไม่ได้รับใบรับรอง "vetted" อย่างเต็มที่ หากคุณต้องการสิ่งนั้นจริง ๆ คุณต้องกระโดดผ่านห่วงเพื่อรับใบรับรอง EV และชำระราคาที่สอดคล้องกัน (และตามที่ได้กล่าวไว้ก่อนหน้านี้แม้กระทั่งคอนเสิร์ต CE ไม่สมบูรณ์หรือมาโดยไม่มีข้อแม้) Let's Encrypt กล่าวถึงเหตุผลบางประการว่าทำไม certs ของพวกเขาจึงใช้ได้เพียง 90 วันในเว็บไซต์ของพวกเขา แต่การมีอยู่ของ Let's Encrypt นั้นยังไม่ได้ทำให้เกิด CA เชิงพาณิชย์ดึงข้อเสนอใบรับรอง DV ของพวกเขา

— CVn

4

ดูเหมือนจะไม่มีใครพูดถึง

หากคุณเป็นเจ้าของทุกเครื่องที่เชื่อมต่อกับเว็บไซต์ของคุณ

เช่น "นี่อาจไม่ใช่สิ่งที่คุณต้องการ"

เช่นเดียวกับการตั้งค่าองค์กรคุณสามารถสร้างหน่วยงานออกใบรับรองของคุณเองติดตั้งใบรับรองสาธารณะลงในเครื่องทั้งหมด (รวมถึงเบราว์เซอร์และร้านค้าใบรับรองทั้งหมด) ที่เชื่อมต่อกับเว็บไซต์ของคุณ ตัวเลือกนี้ไม่มีการสร้างรายได้จากบุคคลที่สาม มันเป็นรหัสเข้ารหัสเดียวกันคุณไม่ได้ลงนามในความไว้วางใจสาธารณะแม้ว่า (เช่นสิทธิ์ของคุณไม่ได้รับการยอมรับจาก Google Chrome, Mozilla ของ Firefox ฯลฯ วิธีที่ Let's Encrypts ทำ) แต่จะได้รับการยอมรับจากเครื่องที่คุณกำหนดค่าให้เชื่อใจตัวเอง .

ข้อตกลงที่ยอมรับกันว่าการตั้งค่าหน่วยงานออกใบรับรองค่อนข้างยุ่งยากและการบำรุงรักษาอาจเป็นเรื่องที่ต้องทำมากมายดังนั้นฉันจะทิ้งมันไว้ที่นี่คุณน่าจะทำการค้นคว้าดำน้ำลึกในหัวข้อที่คุณสนใจอย่างแท้จริง ในแนวทางนี้

แม้ว่าสำหรับการปรับใช้ nieve หากคุณสามารถลอง XCA

สำหรับ Debian: https://packages.debian.org/stretch/xca
เว็บไซต์อย่างเป็นทางการ: http://xca.sourceforge.net/

XCS เป็นวิธีที่เหมาะสมในการออก certs สำหรับการปรับใช้ขนาดเล็กและรวมถึงเอกสารวิธีใช้ที่ผ่านการตั้งค่าทั้งหมด

— ThorSummoner
แหล่งที่มา

2

คุณจะต้องใช้เวลามากขึ้นในการตั้งค่า CA ของคุณเอง (ในชั่วโมงทำงานหากไม่มีอะไรอื่น) มากกว่าการซื้อใบรับรอง SSL เชิงพาณิชย์ จากนั้นมีความเป็นไปได้ที่จะทำสิ่งผิดพลาดอยู่เสมอ

— Eric J.

1

ฉันมีความคิดสองสามอย่าง

หากเหตุผลสำหรับ HTTPS คือการจัดการการเข้าสู่ระบบคุณสามารถลดผลกระทบที่เกิดขึ้นกับเบราว์เซอร์ทั้งหมดโดยเสนอให้ผู้ใช้ยังคงอยู่ในระบบจากนั้นเมื่อผู้ใช้เข้าสู่ระบบคุกกี้สามารถจัดเก็บไว้อย่างถาวรในคอมพิวเตอร์ของผู้ใช้ เปิดคอมพิวเตอร์ของเขาเพื่อเข้าถึงเว็บไซต์เขาจะเข้าสู่ระบบโดยอัตโนมัติแทนที่จะถูกแสดงด้วยพรอมต์การเข้าสู่ระบบและอาจเป็นคำเตือนความปลอดภัย

ความคิดอื่นที่สามารถข้ามข้อความ แต่จะทำงานได้มากขึ้นในทั้งแขกและเซิร์ฟเวอร์คือการให้แขกอัปโหลดไฟล์พิเศษด้วยการเข้ารหัสการกำหนดค่าที่เหมาะสม ตัวอย่างเช่นสำหรับหน้าจอเข้าสู่ระบบแทนที่จะขอให้ผู้ใช้ป้อนชื่อผู้ใช้และรหัสผ่านในกล่องข้อความสองกล่องให้ผู้ใช้อัปโหลดไฟล์ขนาดเล็กที่มีชื่อผู้ใช้และรหัสผ่านที่เข้ารหัสของเขา (ตัวอย่างเช่นบีบอัดชื่อผู้ใช้และรหัสผ่านเป็นรหัสไปรษณีย์ ไฟล์ที่มีระดับการบีบอัดเฉพาะ) จากนั้นเซิร์ฟเวอร์สามารถถอดรหัสไฟล์เพื่อแยกชื่อผู้ใช้และรหัสผ่าน แฮกเกอร์ที่มีศักยภาพจะเห็นซึ่งพูดพล่อยๆในการขนส่งเมื่อผู้ใช้ส่งไฟล์ไปยังเซิร์ฟเวอร์ ข้อได้เปรียบเล็กน้อยสำหรับแนวคิดนี้คือความเร็วในการเชื่อมต่อที่เร็วขึ้นเล็กน้อยเนื่องจากการประมวลผลการเชื่อมต่อ SSL ไม่ได้เกิดขึ้นใน HTTP

— ไมค์
แหล่งที่มา

Chrome รุ่นต่อไปจะแจ้งเตือนเกี่ยวกับการป้อนข้อความใด ๆ ไม่ใช่เฉพาะฟิลด์รหัสผ่าน ข้อมูลใด ๆ ที่ใช้รูปแบบ HTML จะต้องเป็น HTTPS เพื่อหลีกเลี่ยงคำเตือนไม่ใช่เพียงแค่ลงชื่อเข้าใช้ Google ส่งการแจ้งเตือนผ่าน Search Console ไปยังเจ้าของเว็บไซต์ที่เว็บไซต์ของ Google คิดว่าจะได้รับผลกระทบ

— Stephen Ostermiller

1

เลขที่

การแฮ็กใด ๆ ที่คุณพยายาม (เช่นพยายามเข้ารหัสด้วยจาวาสคริปต์) นั้นไม่น่าเป็นไปได้ที่จะปลอดภัย

SSL ไม่จำเป็นต้อง "แพง" ผู้ให้บริการโฮสต์หลายรายให้บริการฟรี และแม้แต่สิ่งต่าง ๆ เช่น cloudflare ก็ให้บริการ SSL ฟรีและยังคงการโฮสต์ในปัจจุบัน

— Mazharul Haq SEO
แหล่งที่มา

-3

วิธีแก้ปัญหาฟรีและรวดเร็วคือ Let's Encrypt ลิงค์ พวกเขามีเอกสารสำหรับเกือบทุกระบบปฏิบัติการเซิร์ฟเวอร์ เราใช้มันในที่ทำงานของเราและผู้ขาย W2P ของเราใช้เพื่อรักษาความปลอดภัยหน้าร้านของเรา

— Riddjim
แหล่งที่มา

3

คำตอบนี้ไม่ได้เพิ่มอะไรที่ยังไม่ได้พูด

— Stephen Ostermiller