ประโยชน์ของการบังคับให้ไซต์โหลดผ่าน SSL (HTTPS) คืออะไร

55

สมมติว่าฉันมีเว็บไซต์ที่มีเฉพาะเนื้อหาขนาดใหญ่ ไม่มีการเข้าสู่ระบบหรือออกจากระบบไม่มีชื่อผู้ใช้ไม่มีที่อยู่อีเมลไม่มีพื้นที่ปลอดภัยไม่มีอะไรเป็นความลับบนเว็บไซต์ nada ผู้คนเพิ่งเข้ามาที่เว็บไซต์และไปจากหน้าหนึ่งไปอีกหน้าและดูเนื้อหา

นอกจากการชนเล็กน้อยใน SEO จาก Google ( เล็กน้อยมากจากสิ่งที่ฉันอ่าน) มีประโยชน์ในการบังคับให้ไซต์โหลดผ่าน HTTPS หรือไม่

— เอริค
แหล่งที่มา

1

ฉันไม่เชื่อว่านี่เป็นสิ่งที่ซ้ำซ้อนกับForce Using SSL บนไซต์ใช่ไหม . แม้ว่าคำตอบบางอย่างอาจมีลักษณะคล้ายกัน แต่คำถามนั้นขอคำแนะนำว่าควรใช้ SSL หรือไม่ในขณะที่คำถามนี้ไม่ได้ หากมีสิ่งใดคำถามอื่นควรถูกปิดเพราะเป็นความคิดเห็น

— Stephen Ostermiller

4

ลองดูสิ่งนี้: ประโยชน์ของการไม่ใช้ SSL คืออะไร ไม่มีสิ่งใดที่ฉันรู้ โอ้แน่ใจว่าการดำเนินการซึ่งจะเป็นหนึ่งออกและใช้เวลา (เปรียบเทียบกับทุกอย่างอื่น) ไม่มีเวลา ดังนั้นหากวิธีการหนึ่งไม่มีข้อเสียและ Upside บางรายการวิธีใดไม่มี Upside และ (ตามที่คุณต้องการ) ข้อเสียไม่มีแล้ว ... ทำไมต้องติดกับหลัง?

— VLAZ

3

@Vld - ประสิทธิภาพ วันนี้เรามักจะพยายามเพิ่มประสิทธิภาพความเร็วในการโหลดครั้งแรกของไซต์ให้เป็นตัวเลขประสิทธิภาพรองวินาทีโดยมีเป้าหมาย 1/2 วินาที ในการเชื่อมต่ออินเทอร์เน็ตที่ช้าเล็กน้อย (ความหน่วงแฝงของแพ็กเก็ตประมาณ 100ms) การจับมือ SSL สามารถใช้เวลา 300ms ซึ่งอาจผลักดันคุณไปสู่เป้าหมายด้านประสิทธิภาพ สำหรับผู้ใช้โทรศัพท์มือถือที่แย่กว่านั้น: เครือข่ายมือถือมีเวลาแฝงของแพ็กเก็ตที่ยาวนานขึ้นและเวลาในการประมวลผลสำหรับการตรวจสอบการรับรองอาจเป็นสองร้อย ms ms บนโทรศัพท์ที่ช้ากว่าได้อย่างง่ายดาย

— จูลส์

6

ผู้ให้บริการมือถือมักยุ่งเกี่ยวกับทราฟฟิก HTTP ที่ไม่ได้เข้ารหัสไม่ว่าจะเป็นการบีบอัดภาพ (เกิน), การฉีดจาวาสคริปต์ที่ชั่วร้ายหรือการควบคุมแคชที่รุนแรงขึ้น HTTPS จะป้องกันเรื่องไร้สาระทั้งหมด

— André Borie

2

@Josef ไม่จริง HTTP / 2 ทำงานผ่านการเชื่อมต่อที่ไม่ได้เข้ารหัสเช่นกัน ไม่มีเบราว์เซอร์ที่สามารถทำได้ แต่เป็นข้อ จำกัด ของเบราว์เซอร์ไม่ใช่ HTTP / 2 การพูดว่า "HTTP / 2 ใช้งานได้กับ TLS เท่านั้น" ก็เหมือนกับการพูดว่า "เทคโนโลยี X ใช้งานไม่ได้เพราะ Internet Explorer ไม่ได้ใช้งาน" ดูที่มันเอาเรา

— Agent_L

84

HTTPS ไม่เพียง แต่ให้ความลับ (ซึ่งคุณกำลังสงสัยค่าแม้ว่าจะมีเหตุผลที่ดีสำหรับมัน) แต่ยังให้ความถูกต้องซึ่งเป็นของมีค่าเสมอ หากไม่มีจุดเชื่อมต่อ / เราเตอร์ / ISP / ฯลฯ ที่เป็นอันตราย สามารถเขียนส่วนใดก็ได้ในเว็บไซต์ของคุณก่อนที่จะแสดงต่อผู้ใช้ ซึ่งอาจรวมถึง:

ฉีดโฆษณาสำหรับคู่แข่งของคุณ
การฉีดโฆษณาหรือวิดเจ็ตที่น่ารำคาญที่ทำให้เว็บไซต์ของคุณดูแย่และทำลายชื่อเสียงของคุณ
การใช้ประโยชน์จากการฉีดมัลแวร์โดยการดาวน์โหลดมัลแวร์ลงในคอมพิวเตอร์ของผู้เข้าชมซึ่งเมื่อนั้น (ถูกต้อง!) จะโทษคุณในเรื่องที่เกิดขึ้น
แทนที่การดาวน์โหลดซอฟต์แวร์จากเว็บไซต์ของคุณด้วยซอฟต์แวร์ที่มีมัลแวร์ที่ให้มา
ลดคุณภาพของภาพของคุณ
การลบบางส่วนของไซต์ของคุณพวกเขาไม่ต้องการให้คุณเห็นเช่นสิ่งที่แข่งขันกับบริการของตนเองหรือแสดงให้เห็นในแง่ลบ
เป็นต้น

ความล้มเหลวในการปกป้องผู้ใช้ของคุณจากสิ่งเหล่านี้จะไม่รับผิดชอบ

— R ..
แหล่งที่มา

27

@ ไมค์ไม่ได้จริงๆ มีซอฟต์แวร์แบบ off-the-shelf มากมายในการทำเช่นนี้และทุกอย่างสามารถจัดการการบีบอัดและการบีบอัดซ้ำได้ดี

— ceejayoz

3

@ ไมค์ไม่ได้จริงๆ พร็อกซีเขียนใหม่แบบสมบูรณ์สามารถถอดรหัสทราฟฟิกทั้งหมดและแทรกสิ่งใหม่ ๆ ที่มันต้องการได้อีกครั้ง

— Nayuki

10

FYI ส่วนใหญ่ถ้าไม่ใช่ตัวอย่างทั้งหมดของฉันมีอยู่จริงในป่า

— ..

2

@DavidMulder ความคิดเห็นแรกของคุณพูดว่า " de centralization [... ] ไม่ใช่สิ่งที่ดี"

— jiggunjer

3

เราไม่สามารถเปลี่ยนความคิดเห็นในคำตอบนี้ให้กลายเป็นเรื่องตลกเกี่ยวกับเรื่องที่ไม่เกี่ยวข้องได้หรือไม่?

— ..

25

"ไม่มีความลับในเว็บไซต์"

... ตามที่คุณต้องการ อาจมีเหตุผลที่ดีอย่างสมบูรณ์แบบที่ใครบางคนต้องการการเชื่อมต่อที่ปลอดภัย มัน (บางส่วน) สร้างความเป็นส่วนตัว:

ผู้ดูแลระบบของฉันจะเห็นว่าฉันกำลังดูเว็บไซต์รูปภาพบนโทรศัพท์ของฉันผ่านทาง url แต่เขาไม่สามารถบอกได้ว่าฉันกำลังดูรูปแมวน่ารักหรือหนังโป๊ไม่ยอมใครง่ายๆ ฉันบอกได้เลยว่ามันเป็นความเป็นส่วนตัวที่ดี "เนื้อหา" และ "เนื้อหา" สามารถสร้างความแตกต่างในโลก - Agent_L

คุณอาจคิดว่ามันไม่สำคัญหรืออาจไม่ใช่เรื่องใหญ่ในตอนนี้ แต่อาจอยู่ในช่วงเวลาอื่น ฉันเชื่อมั่นอย่างแน่วแน่ว่าไม่มีใครแยกจากฉันและเว็บไซต์ควรรู้ว่าฉันกำลังทำอะไรอยู่

มันสร้างความเชื่อมั่น การมีแม่กุญแจเป็นสัญลักษณ์ของความปลอดภัยและสามารถบ่งบอกถึงระดับความสามารถของเว็บไซต์และผลิตภัณฑ์ของคุณ

มันทำให้คุณมีเป้าหมายน้อยลงสำหรับการโจมตีแบบ MitM ความปลอดภัยเพิ่มขึ้น

ด้วยความคิดริเริ่มเช่นLet's Encryptซึ่งทำให้ง่ายขึ้นและฟรีมากมีข้อเสียไม่มาก พลังงานซีพียูที่ใช้โดย SSL นั้นไม่มีความสำคัญในปัจจุบัน

— Martijn
แหล่งที่มา

11

น่าเสียดายที่ SSL ไม่ได้หยุดการทำงานด้านไอทีขององค์กรหรือ ISP ของคุณหรือผู้คนในร้านกาแฟสาธารณะ wifi พร้อมกับคุณไม่ให้รู้ว่าคุณกำลังเยี่ยมชมเว็บไซต์ใด ค้นหา DNS จะทำยังคงอยู่ในที่ชัดเจน ในขณะที่พวกเขาไม่สามารถมองเห็นเนื้อหาหรือ URL ที่ถูกต้องหรือว่าคุณกำลังใช้เว็บเบราว์เซอร์พวกเขาสามารถเห็นว่าคุณกำลังเข้าถึง penisland.com (ซึ่งแน่นอนว่าเป็นเว็บไซต์สำหรับผู้ที่ชื่นชอบปากกา แต่ อาจเข้าใจผิด) การใช้พร็อกซี VPN หรือSOCKS5จะป้องกันการสอบถาม DNS ของคุณ

— Schwern

3

@Martijn: ด้วยการระบุชื่อเซิร์ฟเวอร์ (ซึ่งเบราว์เซอร์ที่ทันสมัยรองรับทั้งหมด) ชื่อโฮสต์ของเว็บไซต์นั้นจะถูกส่งไปโดยชัดเจนว่าเป็นส่วนหนึ่งของการจับมือ HTTPS มันไม่ได้เป็นเพียงแค่การโจมตีของ sidechannel และไม่สามารถบรรเทาได้ด้วยเช่น DNSsec

— Kevin

3

@Schwern ฉันไม่เคยเข้าใจอาร์กิวเมนต์ที่ HTTPS ไม่ปกป้องชื่อโฮสต์เนื่องจากการค้นหา DNS และ SNI และใบรับรองของเซิร์ฟเวอร์นั้นชัดเจน แน่นอนว่าเป็นจริงตามที่ระบุไว้ แต่ข้อความ HTTP ธรรมดานั้นไม่ได้ดีไปกว่านี้แล้ว!

— CVn

5

@Schwern ผู้ดูแลระบบของฉันเห็นว่าฉันกำลังดู Tumblr บนโทรศัพท์ของฉัน แต่เขาไม่สามารถบอกได้ว่าฉันกำลังดูรูปแมวน่ารักหรือหนังโป๊ไม่ยอมใครง่ายๆ ฉันบอกได้เลยว่ามันเป็นความเป็นส่วนตัวที่ดี "เนื้อหา" และ "เนื้อหา" สามารถสร้างความแตกต่างในโลก

— Agent_L

2

@Agent_L ไม่แม้นั่นไม่ใช่คำแนะนำที่ดี หากคุณไปที่https://penisland.tumblr.com/เบราว์เซอร์ของคุณจะทำการร้องขอ DNS penisland.tumblr.comซึ่งหากคุณไม่ได้ป้องกันการสืบค้น DNS ของคุณผู้ดูแลระบบเครือข่ายจะเห็น จากนั้นเบราว์เซอร์ของคุณจะต้องได้รับรูปภาพ Javascript, CSS และโฆษณาจากโดเมนต่างๆที่สร้างคำขอ DNS มากขึ้น พวกเขาอาจมาจากโดเมนใดก็ได้ ไม่กี่โดเมน Tumblr porn ที่ฉันพยายามไม่มีอะไรชัดเจน Tumblr มีแนวโน้มที่จะโฮสต์รูปภาพและวิดีโอในบ้าน แต่คุณไม่สามารถเชื่อถือได้เพื่อความเป็นส่วนตัว

— Schwern

12

คุณจะได้รับHTTP / 2สนับสนุนมาตรฐานเว็บใหม่ที่ออกแบบมาเพื่อมีนัยสำคัญปรับปรุงความเร็วในการโหลดเว็บไซต์

เนื่องจากผู้ผลิตเบราว์เซอร์เลือกที่จะสนับสนุน HTTP / 2 ผ่าน HTTPS เท่านั้นการเปิดใช้งาน HTTPS (บนเซิร์ฟเวอร์ที่รองรับ HTTP / 2) เป็นวิธีเดียวที่จะได้รับการอัพเกรดความเร็วนี้

— user2428118
แหล่งที่มา

1

นี่เป็นเรื่องที่ค่อนข้างใหญ่และต้องถูกหลอกล่อให้มากขึ้น มันสร้างกรณีธุรกิจสำหรับการโหลด HTTPS เท่านั้นที่ผู้จัดการส่วนใหญ่สามารถทำได้

— Dewi Morgan

10

(ส่วนที่นำมาจากคำตอบของฉันกับคำถามที่คล้ายกัน)

HTTPS สามารถบรรลุสองสิ่ง:

การรับรอง ตรวจสอบให้แน่ใจว่าผู้เข้าชมกำลังสื่อสารกับเจ้าของโดเมนจริง
การเข้ารหัสลับ ตรวจสอบให้แน่ใจว่ามีเพียงเจ้าของโดเมนนี้และผู้เข้าชมเท่านั้นที่สามารถอ่านการสื่อสารของพวกเขาได้

ทุกคนอาจตกลงกันว่า HTTPS ควรมีผลบังคับใช้เมื่อส่งความลับ (เช่นรหัสผ่านข้อมูลธนาคาร ฯลฯ ) แต่แม้ว่าเว็บไซต์ของคุณจะไม่ประมวลผลความลับดังกล่าวมีหลายกรณีที่การใช้ HTTPS มีประโยชน์อย่างไร

ผู้โจมตีไม่สามารถแก้ไขเนื้อหาที่ร้องขอได้

เมื่อใช้ HTTP ผู้ดักฟังสามารถจัดการเนื้อหาที่ผู้เยี่ยมชมเห็นบนเว็บไซต์ของคุณ ตัวอย่างเช่น:

รวมถึงมัลแวร์ในซอฟต์แวร์ที่คุณเสนอให้ดาวน์โหลด (หรือถ้าคุณไม่เสนอซอฟต์แวร์ใด ๆ ผู้โจมตีก็เริ่มทำเช่นนั้น)
ตัดทอนเนื้อหาบางส่วนของคุณ การเปลี่ยนการแสดงความคิดเห็นของคุณ
ฉีดโฆษณา
แทนที่ข้อมูลบัญชีการบริจาคของคุณด้วยตนเอง

HTTPS สามารถป้องกันสิ่งนี้ได้

ผู้โจมตีไม่สามารถอ่านเนื้อหาที่ร้องขอได้

เมื่อใช้ HTTP ผู้ดักฟังสามารถเรียนรู้ว่าหน้า / เนื้อหาใดบนโฮสต์ของคุณที่ผู้เยี่ยมชมของคุณเข้าถึง แม้ว่าเนื้อหาอาจเป็นสาธารณะ แต่ความรู้ที่บุคคลเฉพาะใช้นั้นอาจเป็นปัญหาได้:

มันเปิดการโจมตีสำหรับวิศวกรรมทางสังคม
มันละเมิดความเป็นส่วนตัว
มันสามารถนำไปสู่การเฝ้าระวังและลงโทษ (จนถึงการถูกจำคุกทรมานและตาย)

แน่นอนว่าสิ่งนี้ขึ้นอยู่กับลักษณะของเนื้อหาของคุณ แต่สิ่งที่ดูเหมือนว่าจะไม่เป็นอันตรายต่อเนื้อหาที่คุณสามารถตีความได้โดยบุคคลอื่น

ปลอดภัยกว่าดีกว่าขออภัย HTTPS สามารถป้องกันสิ่งนี้ได้

— UNOR
แหล่งที่มา

1

แท้จริงแล้ว HTTPS สามารถป้องกันได้ ในบางสถานการณ์มันอาจจะไม่ ดูLenovo Superfishสำหรับตัวอย่างล่าสุด

— CVn

@ MichaelKjörling: ใช่ฉันรู้เรื่องนี้ (นั่นเป็นเหตุผลที่ฉันแน่ใจว่าใช้ "can";)) แต่เป็นปัญหาที่เกิดจากพฤติกรรมของผู้เข้าชมไม่ใช่ปัญหากับ HTTPS เองหรือวิธีที่ผู้ดูแลเว็บใช้ มันใช่มั้ย ผู้เยี่ยมชมควรใส่ใจว่า CA ใดควรเชื่อถือ (และผู้เยี่ยมชมควรให้ความสนใจว่าจะติดตั้งซอฟต์แวร์ใดโดยเฉพาะอย่างยิ่งหากได้รับอนุญาตให้เล่นกับรายการ CA ที่น่าเชื่อถือ)

— unor

แท้จริง; ฉันไม่เถียงกับประเด็นของคุณ แต่เพิ่มมันเข้าไปเท่านั้น!

— CVn

6

มันช่วยป้องกันไม่ให้ผู้ชายเข้าโจมตีกลางซึ่งทำให้คุณคิดว่าคุณกำลังเยี่ยมชมไซต์ของคุณ แต่นำเสนอเพจที่มาจากอีกไซต์หนึ่งจริง ๆ และอาจพยายามรับข้อมูลจากคุณ เนื่องจากข้อมูลถูกเข้ารหัสจึงทำให้ผู้โจมตีสามารถจัดการหน้าเว็บตามที่คุณเห็นได้ยากขึ้น

เนื่องจากคุณต้องการใบรับรอง SSL ที่ยืนยันว่าคุณเป็นเจ้าของไซต์อย่างน้อยให้การยืนยันอย่างน้อยคุณเป็นใคร

— ปล้น
แหล่งที่มา

3

บริษัท การตลาดอย่าง Hitwise จ่าย ISP เพื่อรวบรวมข้อมูลเกี่ยวกับไซต์ของคุณเมื่อคุณไม่ใช้ SSL ข้อมูลเกี่ยวกับเว็บไซต์ของคุณได้รับการรวบรวมซึ่งคุณอาจไม่ได้รู้ว่าคู่แข่งของคุณ:

ข้อมูลประชากรของผู้ใช้
สถิติผู้เยี่ยมชม
หน้ายอดนิยม
คำหลักของเครื่องมือค้นหา (แม้ว่าจะมีคำว่า "ไม่ได้ระบุ" สิ่งนี้จะมีปัญหาน้อยลงในทุกวันนี้)

— Stephen Ostermiller
แหล่งที่มา

3

และเพื่อเพิ่มอีกหนึ่งคำตอบทั้งหมดฉันจะพูดถึงเวลาแฝง เพราะดูเหมือนว่าไม่มีใครเขียนที่นี่เกี่ยวกับเรื่องนี้

การมีความหน่วงแฝง HTTP ไคลเอ็นต์ต่อเซิร์ฟเวอร์ต่ำเป็นสิ่งสำคัญสำหรับการสร้างเว็บไซต์ที่ตอบสนองรวดเร็ว

TCP / IP เพียงอย่างเดียวมีการจับมือ 3 ทาง (การตั้งค่าการเชื่อมต่อเริ่มต้นสำหรับ HTTP ธรรมดาผ่าน TCP ต้องใช้ 3 แพ็คเก็ต) เมื่อใช้ SSL / TLS การตั้งค่าการเชื่อมต่อมีความเกี่ยวข้องมากขึ้นหมายถึงเวลาแฝงสำหรับการเชื่อมต่อ HTTPS ใหม่นั้นสูงกว่า plaintext HTTP อย่างหลีกเลี่ยงไม่ได้

ปัญหาเกี่ยวกับ HTTP คือมันไม่ปลอดภัย ดังนั้นหากคุณมีข้อมูลที่สำคัญคุณต้องมีรูปแบบความปลอดภัย เมื่อคุณพิมพ์บางสิ่งลงในเว็บเบราว์เซอร์ของคุณที่ขึ้นต้นด้วย“ https” คุณจะขอให้เบราว์เซอร์ของคุณใช้เลเยอร์การเข้ารหัสเพื่อป้องกันการรับส่งข้อมูล สิ่งนี้ให้การป้องกันที่เหมาะสมต่อผู้ดักฟัง แต่ปัญหาคือมันจะช้าลง เนื่องจากเราต้องการเข้ารหัสการรับส่งข้อมูลของเราจึงมีการคำนวณที่เกี่ยวข้องซึ่งเพิ่มเวลา ซึ่งหมายความว่าหากคุณไม่ได้ออกแบบระบบของคุณอย่างถูกต้องเว็บไซต์ของคุณจะปรากฏแก่ผู้ใช้ที่ซบเซา

สรุป:

ฉันมีเว็บไซต์ที่มีเนื้อหาขนาดใหญ่เท่านั้น ไม่มีการเข้าสู่ระบบหรือออกจากระบบไม่มีชื่อผู้ใช้ไม่มีที่อยู่อีเมลไม่มีพื้นที่ปลอดภัยไม่มีอะไรเป็นความลับบนเว็บไซต์ nada ผู้คนเพิ่งเข้ามาที่เว็บไซต์และไปจากหน้าหนึ่งไปอีกหน้าและดูเนื้อหา

หากเป็นกรณีนี้ฉันจะไม่ใช้ SSL เลย ฉันต้องการให้หน้าของฉันเมื่อคุณคลิกที่มันเปิดขึ้นในหนึ่งวินาที มาจากประสบการณ์ของผู้ใช้ คุณทำตามที่คุณต้องการฉันแค่ไม่ใส่ใบรับรองกับทุกสิ่งที่ฉันทำ ในกรณีนี้ฉันจะไม่ใช้มันเลย

— Josip Ivic
แหล่งที่มา

IMO นี่เป็นคำตอบที่ถูกต้องมากเท่ากับการได้รับคะแนนเสียงทั้งหมด

— Michael Yaeger

youtube.com/watch?v=e6DUrH56g14กล่าวถึงเทคนิคบางอย่างเพื่อลดผลกระทบต่อประสิทธิภาพแม้ว่าคุณ (หรือลูกค้าจำนวนมาก) จะไม่สามารถทำ HTTP / 2 ได้ด้วยเหตุผลบางประการ

— CVn

1

นอกเหนือจากประโยชน์ที่ได้รับจากคนอื่นแล้วยังมีเหตุผลหนึ่งที่จะทำให้คุณเปลี่ยนมาใช้ SSL เว้นแต่คุณจะไม่สนใจผู้เยี่ยมชมที่ใช้ Chrome - Chrome เวอร์ชันใหม่ (เริ่มตั้งแต่ปลายปีที่แล้วเท่าที่ผมจำได้) คือ จะแสดงคำเตือน (ซึ่งจะนำผู้ใช้ออกจากไซต์ของคุณ) โดยค่าเริ่มต้นสำหรับไซต์ทั้งหมดที่ไม่ได้ใช้ HTTPS

// แก้ไข:

นี่คือลิงก์ไปยังบทความที่มีรายละเอียดเพิ่มเติมสองบทความถึงแม้ว่าฉันไม่สามารถหาบทความที่ฉันได้อ่านเกี่ยวกับเวลาที่พวกเขาวางแผนที่จะแนะนำคุณลักษณะอย่างเป็นทางการ:

https://motherboard.vice.com/read/google-will-soon-shame-all-websites-that-are-unencrypted-chrome-https

http://www.pandasecurity.com/mediacenter/security/websites-that-arent-using-https/

— ค้อนเลื่อน
แหล่งที่มา

ไม่ใช่การอ้างสิทธิ์ที่สมบูรณ์แบบสำหรับการอ้างสิทธิ์ที่ทำไว้ในคำตอบ แต่จะมีการทำเครื่องหมาย HTTP ว่าไม่ปลอดภัยเสมอ

— CVn

1

คำตอบง่ายๆก็คือว่าไม่มีเหตุผลที่ดีที่จะไม่ ในอดีตมีข้อโต้แย้งเกี่ยวกับการใช้ SSL ในกรณีที่จำเป็นอย่างยิ่งเท่านั้น (เช่นในไซต์อีคอมเมิร์ซที่รวบรวมรายละเอียดการชำระเงิน)

สิ่งเหล่านี้ส่วนใหญ่เกี่ยวข้องกับขั้นตอนการติดตั้งใบรับรอง SSL, ค่าใช้จ่าย, โหลดเพิ่มเติมบนเว็บเซิร์ฟเวอร์และข้อ จำกัด ของเครือข่าย - ณ เวลาที่ผู้คนไม่มีบรอดแบนด์เป็นต้นเหตุผลเหล่านี้ไม่มีผลบังคับใช้ในปี 2016

ในแง่ของ SEO เรารู้ว่าเป้าหมายของเครื่องมือค้นหาส่วนใหญ่คือการให้ผลลัพธ์ที่ดีที่สุดสำหรับผู้ใช้และสามารถทำได้โดยให้พวกเขาเชื่อมต่อกับเว็บไซต์ที่พวกเขากำลังค้นหาอย่างปลอดภัย ในแง่นี้เสิร์ชเอ็นจิ้นไม่สนใจว่ามีข้อมูล "ละเอียดอ่อน" บนเว็บไซต์ (ไม่ว่าจะเป็นการนำเสนอหรือเก็บรวบรวม) มันเป็นเพียงแค่กรณีที่หากเว็บไซต์ให้บริการผ่าน HTTPS ความเสี่ยงที่อาจเกิดขึ้นจากการตรวจสอบและการเข้ารหัสจะลดลงอย่างมากดังนั้นไซต์นั้นจะถือว่า "ดีกว่า" กว่าไซต์ที่เทียบเท่าโดยไม่มี HTTPS

โดยพื้นฐานแล้วมันง่ายและตรงไปตรงมาเพื่อนำมาใช้เป็นเพียงการปฏิบัติที่ดีที่สุดในปัจจุบัน ในฐานะนักพัฒนาเว็บฉันเพิ่งพิจารณาติดตั้งใบรับรอง SSL จากนั้นบังคับให้คำขอทั้งหมดผ่าน HTTPS (ใช้งานง่าย. htaccess หรือเทียบเท่า) เป็นส่วนมาตรฐานของเว็บไซต์หรือแอปพลิเคชันเว็บใด ๆ ที่ฉันสร้าง

— แอนดี้
แหล่งที่มา

1

นอกจากคำตอบอื่น ๆ แล้วเบราว์เซอร์ควร (เช่นเดียวกับ RFC 2119) ส่งUser-Agentส่วนหัว User-Agentจะให้ข้อมูลที่เพียงพอเกี่ยวกับสิ่งที่แพลตฟอร์มที่ผู้ใช้จะใช้ถ้าเขาส่งที่เกิดขึ้นจริง ถ้าอีฟสามารถดักฟังคำขอของอลิซและอลิซส่งเรื่องจริงUser-Agentอีฟจะรู้ว่าแพลตฟอร์มใดที่อลิซใช้โดยที่อลิซทำการเชื่อมต่อกับเซิร์ฟเวอร์ของอีฟ จะเป็นการง่ายกว่าที่จะเจาะเข้าไปในคอมพิวเตอร์ของ Alice ที่มีความรู้เช่นนี้

— v7d8dpo4
แหล่งที่มา

นี่เป็นสิ่งที่บอกว่าถ้าอีฟเห็นหมายเลข VIN ของรถของอลิซผ่านกระจกหน้ารถมันทำให้อีฟต้องบุกเข้าไปในรถของอลิซได้ง่ายขึ้นเพราะหมายเลข VIN ช่วยให้เธอทราบว่ายี่ห้อและรุ่นรถของอลิซนั้นเป็นอะไร แน่นอนว่ามีความเป็นไปได้ แต่มีวิธีมากมายที่จะได้รับข้อมูลเดียวกันโดยไม่ต้องใช้ MITM ในการลงทะเบียนเป็นอะไรมากกว่าเสียงรบกวนพื้นหลังทางอินเทอร์เน็ตสำหรับโหนดใบไม้บนเครือข่าย ตัวอย่างเช่น: Eve (หรือมัลลอรี่) อาจส่งลิงก์ไปยังเว็บเพจภายใต้การควบคุมของอีเมล คนชอบคลิกที่ลิงค์

— CVn

1

คุณมีสองตัวเลือกในการรักษาความปลอดภัยโดเมนหลักของคุณ (mysite.com) และโดเมนย่อย (play.mysite.com และ test.mysite.com) SSL ไม่ได้มีไว้สำหรับอีคอมเมิร์ซเท่านั้นไซต์การชำระเงินที่ทำธุรกรรมทางการเงินหรือข้อมูลรับรองการเข้าสู่ระบบถูกแชร์ผ่านเว็บไซต์ มันมีความสำคัญเท่าเทียมกันสำหรับเว็บไซต์ตามเนื้อหา ผู้โจมตีจะค้นหาเว็บไซต์ HTTP ธรรมดาหรือช่องโหว่ในเว็บไซต์เสมอ SSL ไม่เพียง แต่ให้ความปลอดภัย แต่ยังรับรองความถูกต้องของเว็บไซต์ของคุณ ประโยชน์หลักของการมี SSL บนเว็บไซต์เนื้อหาคือ

คุณสามารถหลีกเลี่ยงการโจมตีจากคนกลางที่สามารถเปลี่ยนเนื้อหาของเว็บไซต์ได้
นอกจากนี้เว็บไซต์ของคุณจะมีความถูกต้องที่แจ้งผู้เข้าชมว่าข้อมูลของพวกเขาจะปลอดภัยหากพวกเขาแบ่งปันกับเว็บไซต์
พวกเขาได้รับความมั่นใจเกี่ยวกับความถูกต้องของเว็บไซต์
นอกจากนี้เว็บไซต์ของคุณจะปลอดจากการโฆษณาที่เป็นอันตรายการโจมตีช่องโหว่เครื่องมือที่ไม่พึงประสงค์การเปลี่ยนซอฟต์แวร์และเป็นอันตรายต่อเว็บเพจเมื่อคุณมี SSL บนเว็บไซต์ของคุณ
ใบรับรอง SSL มีการประทับตราเว็บไซต์แบบคงที่ที่สามารถวางบนหน้าเว็บใด ๆ เพื่อความมั่นใจและลูกค้าสามารถคลิกที่ตราประทับเพื่อทราบรายละเอียดของใบรับรอง SSL ที่ติดตั้ง

— Jason Parms
แหล่งที่มา

1

คำตอบอื่น ๆ พูดคุยเกี่ยวกับประโยชน์ของ HTTPS ผู้ใช้จะถูกบังคับให้ใช้ HTTPS หรือไม่ ด้วยเหตุผลสองประการ:

หากคุณให้ผู้ใช้มีตัวเลือกที่จะไม่ใช้ HTTPS พวกเขาอาจจะไม่ได้โดยเฉพาะอย่างยิ่งเนื่องจากเบราว์เซอร์ส่วนใหญ่ใช้ค่าเริ่มต้นเป็น http: // และไม่ใช่ https: // เมื่อพิมพ์โดเมนในแถบที่อยู่
ด้วยการใช้ทั้งเวอร์ชันที่ปลอดภัยและเวอร์ชันที่ไม่ปลอดภัยคุณจะเพิ่มพื้นผิวการโจมตีของการเชื่อมต่อ คุณให้โอกาสผู้โจมตีทำการลดระดับการโจมตีแม้ว่าคุณคิดว่าคุณกำลังใช้เวอร์ชันที่ปลอดภัย
หากคุณเปลี่ยนเส้นทาง http: // URL ทุกอันให้เทียบเท่า https: // หนึ่งจะทำให้ชีวิตของผู้ดูแลระบบเซิร์ฟเวอร์และเครื่องมือค้นหาง่ายขึ้น ไม่มีใครต้องกังวลเกี่ยวกับว่า http: // และ https: // นั้นมีความหมายเทียบเท่าหรือหมายถึงชี้ไปที่สิ่งที่แตกต่างอย่างสิ้นเชิงโดยการเปลี่ยนทิศทางหนึ่งไปสู่อีกสิ่งหนึ่งชัดเจนว่าทุกคนจะต้องใช้ URL ใด

— Flimm
แหล่งที่มา