คำถามติดแท็ก https

HTTPS เป็นรุ่นที่ปลอดภัยของโปรโตคอลการโอนถ่ายไฮเปอร์เท็กซ์ (HTTP) โดยปกติจะใช้พอร์ต 443 และขับเคลื่อนโดยโปรโตคอลเข้ารหัสลับ TLS (SSL เดิม)

3
จะป้องกันการเข้าถึงเว็บไซต์โดยไม่มีการเชื่อมต่อ SSL ได้อย่างไร?
ฉันมีเว็บไซต์ที่มีใบรับรอง SSL ติดตั้งอยู่ดังนั้นหากฉันเข้าถึงเว็บไซต์โดยใช้httpsแทนที่จะเป็นhttpฉันจะสามารถเชื่อมต่อโดยใช้การเชื่อมต่อที่ปลอดภัย อย่างไรก็ตามฉันสังเกตเห็นว่าฉันยังสามารถเข้าถึงเว็บไซต์ที่ไม่ปลอดภัยเช่น โดยใช้แทนhttphttps ฉันจะป้องกันผู้ใช้งานเว็บไซต์ในลักษณะที่ไม่ปลอดภัยได้อย่างไร ถ้าฉันมีไดเรกทอรีบนเว็บไซต์เช่น samples/ฉันจะป้องกันการเชื่อมต่อที่ไม่ปลอดภัยกับไดเรกทอรีนี้ได้หรือไม่?
11 https 

1
เป็นปัญหาด้านความปลอดภัยหรือไม่ที่จะมีสินทรัพย์ที่ไม่ปลอดภัยในหน้า ssl?
ความเข้าใจของฉันคือว่านี่เป็นเพียงตัวอย่างของการระมัดระวังมากเกินไป แต่ถ้าแบบฟอร์มเช็คเอาต์ของฉันมีสินทรัพย์ที่ไม่ปลอดภัยอยู่นั้นจะไม่เป็นอันตรายต่อหมายเลขบัตรเครดิตของใครก็ตามที่ถูกจับโดยคนที่อยู่ตรงกลาง ฉันถามสิ่งนี้เพราะบางครั้งอาจเป็นเพราะเนื้อหาที่เก็บไว้หรืออะไรก็ตามบางคนเขียนโดยบอกว่าพวกเขาเห็น "ข้อผิดพลาด" นี้ (แม้ว่าจะไม่มีเนื้อหาที่ไม่ปลอดภัยในหน้าของฉัน) แต่พวกเขาต้องการคำอธิบาย ใช่ฉันสามารถบอกได้ทั้งหมดเกี่ยวกับการเข้ารหัสและใบรับรองและความน่าเชื่อถือและแบบคนกลาง แต่สิ่งที่ฉันบอกพวกเขาเกี่ยวกับเรื่องนี้ ฉันจะโน้มน้าวพวกเขาได้อย่างไรว่าไซต์นั้นปลอดภัย 100% (และหากไม่แจ้งให้เราทราบว่าฉันเข้าใจผิด!)
11 https 

3
Google จัดทำดัชนีเว็บไซต์ของฉันเป็น https ตรงข้ามกับ http ที่ถูกต้อง
เมื่อเดือนที่แล้วหน้าแรกของเว็บไซต์ของฉันโฮสต์บนเซิร์ฟเวอร์กริดของ Media Temple และปรากฏในรายชื่อ google เป็นเว็บไซต์ https ฉันไม่เคยร้องขอหรือต้องการความปลอดภัยเพิ่มเติมของ SSL และดังนั้นจึงไม่ได้ซื้อใบรับรองความปลอดภัย ฉันส่งแผนผังไซต์ xml google สำหรับไซต์และเพิ่ม. htaccess เปลี่ยนเส้นทางไปยังไฟล์ http ที่ถูกต้อง ฉันกำลังสูญเสียว่าทำไมสิ่งนี้เกิดขึ้น คำแนะนำใด ๆ ที่จะได้รับการชื่นชมมาก

4
SSL มีความสำคัญต่อเว็บไซต์ส่วนใหญ่หรือไม่
ฉันค่อนข้างหวาดระแวงเกี่ยวกับการเรียนรู้ที่จะ "รักษาความปลอดภัยที่ถูกต้อง" สำหรับเว็บไซต์นี้ฉันกำลังสร้าง (ไซต์ที่ไม่ได้ทำเรื่องไม่สำคัญครั้งแรกที่ฉันทำ) และฉันสังเกตเห็นสิ่งที่รบกวนฉัน: SSL ฉันได้อ่านเธรดการรักษาความปลอดภัยมากมายที่นี่บน StackOverflow และที่อื่น ๆ ที่มีความยาวเกี่ยวกับการสร้างรหัสเซสชันหลังจากการใช้งาน n ครั้งและวิธีการที่รหัสผ่านของคุณจะต้องถูกใส่เกลือแฮชและไม่เคยเก็บไว้ในข้อความธรรมดา ฉันได้อ่านมากมายเกี่ยวกับวิธีการตรวจสอบเมื่อเซสชันถูกไฮแจ็กโดยการติดตามที่อยู่ IP ตัวแทนผู้ใช้และโดยใช้คุกกี้การติดตาม สิ่งที่ฉันไม่เข้าใจคือสิ่งใดในเรื่องนี้เมื่อเว็บไซต์ล็อกอินคุณผ่าน HTTP POST ปกติและส่งรหัสผ่านของคุณผ่านสายเป็นข้อความธรรมดา? ฉันเข้าใจว่าวิธีการอื่น ๆ ที่ฉันระบุไว้นั้นเป็นสิ่งจำเป็นเพื่อลดการเปิดเผยโดยรวมของคุณและอาจมีบางเว็บไซต์ที่ไม่ต้องการความปลอดภัยขนาดนั้นอีกต่อไป แต่ฉันเดาว่าสิ่งที่ฉันถามคือ: เมื่อไรที่จะไม่ยุ่งกับ SSL? เว็บไซต์อย่าง Gmail ธนาคารของคุณและ LinkedIn ฉันเห็นว่ามีเหตุผลที่จะใช้ SSL แต่สิ่งที่ทำให้มันเป็นไรที่ไซต์เช่น Facebook และ reddit ไม่ต้องกังวล (นรก, PlentyOfFish ยังเก็บรหัสผ่านของคุณเป็นข้อความธรรมดาและแม้กระทั่งอีเมล ถึงคุณทุกสัปดาห์เพื่อเป็นการเตือน!?!)? ฉันควรกังวลเกี่ยวกับการตั้งค่า SSL อย่างไร (โดยเฉพาะอย่างยิ่งตั้งแต่ฉันเริ่มต้นด้วยโฮสต์ที่ใช้ร่วมกันและฉันเริ่มถูกแล้ว) เว็บไซต์ของฉันจะไม่เก็บข้อมูลส่วนบุคคลใด ๆ โดยเฉพาะหากสิ่งนั้นช่วยได้ หากไซต์ประสบความสำเร็จฉันจะพิจารณาจ่ายเงินพิเศษเพื่อความปลอดภัยที่เพิ่มขึ้นอย่างจริงจัง


2
การเลือกโดเมนที่จะปลอดภัย
เรามีเว็บไซต์ที่ให้บริการทั้งสองwww.example.comและเพียงแค่example.com- เราไม่เคยบังคับให้ผู้ใช้จากโดเมนหนึ่งไปยังอีกโดเมนหนึ่งดังนั้นถ้าพวกเขาลงจอดexample.comแล้วพวกเขาจะอยู่ที่ไหนและฉันเดาว่า ผู้ทำบุ๊กมาร์กหน้าเว็บของเราพวกเขาน่าจะแยกประมาณ 50/50 (มีปัญหาก่อนหน้านี้ซึ่งเนื้อหาบางส่วนของเราตัดออกจาก WWW และปีต่อมาเรายังคงสังเกตเห็นการแบ่งการจราจร) ตอนนี้เรากำลังเพิ่ม SSL เราไม่ได้บังคับให้ SSL จนกว่าผู้ใช้จะเข้าสู่หน้าเข้าสู่ระบบหรือลงทะเบียน โดเมนใดที่เราควรใช้ SSL ของเรา www.example.com example.com secure.example.com อื่น ๆ อีก? ฉันเคยทำเว็บไซต์ SSL มาก่อนมากมาย แต่พวกเขาได้รับการออกแบบโดยคำนึงถึง SSL เสมอและเราบังคับโดเมนย่อย www มีข้อดีข้อเสียในการทำวิธีใดบ้าง? ความกังวลหลักของฉันเกี่ยวกับการรับรู้คุกกี้ แต่เมื่อเราบังคับให้ SSL เข้าสู่ระบบคุกกี้เซสชันจะถูกเขียนบนโดเมน SSL อย่างไรก็ตาม ความกังวลหลักของฉันคือสำหรับคนที่อาจจะไปhttps://example.comเมื่อเราใช้เว็บไซต์https://www.example.comเป็นต้น คำถามอื่นก็คือ "ฉันควรจะเขียนคนที่ลงบนไซต์ที่ไม่ใช่ www ไปที่เว็บไซต์ WWW หรือไม่

6
ผู้ให้บริการใบรับรอง SSL
ล็อคแล้ว คำถามและคำตอบของคำถามนี้ถูกล็อคเนื่องจากคำถามอยู่นอกหัวข้อ แต่มีความสำคัญทางประวัติศาสตร์ ขณะนี้ไม่ยอมรับคำตอบหรือการโต้ตอบใหม่ ฉันต้องการใบรับรอง SSL สำหรับเว็บไซต์ใหม่ที่ฉันสร้างและฉันต้องเลือกผู้ให้บริการ SSL สิ่งที่ควรมองหาเมื่อเลือกและประสบการณ์ของคุณเกี่ยวกับพวกเขาคืออะไร? ขอบคุณ!

2
การใช้ใบรับรองไวด์การ์ดสำหรับการปรับใช้หลายเซิร์ฟเวอร์
ขณะนี้เรากำลังปรับใช้ API เบต้าสำหรับบริการของเราและเราต้องการให้คำขอ / ตอบกลับทั้งหมดจาก API ทำงานผ่าน https ฉันสับสนเกี่ยวกับการใช้ใบรับรองตัวแทนสำหรับทั้งapiและwwwURL เป็นความคิดที่ดีหรือไม่ที่จะใช้ใบรับรองตัวแทนสำหรับทั้งสองapi.example.comและwww.example.com? มีความไม่สะดวกบ้างไหม? ใบรับรองแบบเซิร์ฟเวอร์เดียวเท่านั้นเหล่านั้นคืออะไร เพราะฉันปรับใช้ API ของฉันในเซิร์ฟเวอร์nโดยมี load balancer อยู่ด้านหน้า

2
ไม่ถูกต้องหรือไม่ที่จะมีเวอร์ชัน HTTPS ของ URL sitemaps.org ใน xmlns sitemap schema?
ฉันมีสคีมากับสิ่งนี้: <sitemapindex xmlns="https://www.sitemaps.org/schemas/sitemap/0.9"> มันถูกต้องหรือควรเป็น: <sitemapindex xmlns="http://www.sitemaps.org/schemas/sitemap/0.9"> หากหน้าเว็บทั้งหมดของฉันอยู่บน HTTPS

2
วิธีเพิ่มประสิทธิภาพความเร็วในการโหลดของการเชื่อมต่อเริ่มต้นและขั้นตอนการจับมือ SSL ของหน้าเว็บในเครือข่าย 3G?
เว็บไซต์ของฉัน www.example.com (เปิดใช้งาน SSL) โฮสต์อยู่บนโฮสต์ที่ใช้ร่วมกันของ Amazon EC2 มันโหลดเร็วขึ้น (โหลดเวลา <2 วินาที) ในการเชื่อมต่อ wifi / บรอดแบนด์ ปัญหาอยู่ในเครือข่าย 3G ในมือถือ ** (โหมด H และไม่ใช่โหมด H +) ** เริ่มขั้นตอนการเชื่อมต่อและกระบวนการจับมือ SSL ใช้เวลานาน - 12 วินาที ตรวจสอบพารามิเตอร์เวลาผ่านแท็บเครือข่าย Chrome ด้านล่างคือเวลาโหลดที่วัดได้สำหรับหน้าเว็บ ชนิดของข้อมูลที่จัดการในหน้า: หน้า เว็บที่ทดสอบได้รับข้อมูล JSON ที่จับคู่คีย์ - ค่า 5 ผ่าน AJAX และแสดงบนหน้าเว็บ มันเป็นหน้าเบามากที่มีเนื้อหาข้อความเพียง 5-6 ฉันเคยเห็นเว็บไซต์จำนวนมากโหลดเร็วขึ้นบนเครือข่ายมือถือ 3G (โหมด …

6
HTTPS สำหรับทั้งไซต์
ฉันทำงานในเว็บไซต์ที่ได้มาตรฐานค่อนข้างมีเนื้อหาสาธารณะรวมถึงเนื้อหาส่วนตัว / ที่กำหนดเองสำหรับผู้ใช้ที่ลงทะเบียน ฉันรู้ว่าฉันต้องใช้ HTTPS เมื่อผู้ใช้เข้าสู่ระบบหรือส่งรายละเอียดบัตรเครดิต มีเหตุผลที่ฉันไม่ควรใช้ HTTPS สำหรับทั้งไซต์ใช่หรือไม่
10 https 

3
การจัดอันดับของ Google ลดลงเป็นปกติหลังจากเปลี่ยนเป็น https หรือไม่
ประมาณหนึ่งสัปดาห์ที่ผ่านมาฉันได้เปลี่ยนเป็น https บนหนึ่งในไซต์ของฉัน ฉันคิดว่าฉันทำทุกอย่างถูกต้อง ตั้งค่า 301 เปลี่ยนเส้นทางอย่างถูกต้องจาก http เป็น https ทุกรุ่น เพิ่มและยืนยันรุ่น https ในเครื่องมือของผู้ดูแลเว็บ อัปเดตลิงก์ภายในทั้งหมด ส่งแผนผังไซต์ใหม่ แม้จะมีหน้าของฉันหลายแห่ง (ประมาณ 40%) สูญเสียอันดับของพวกเขาเกือบจะในทันที ผู้ที่หลุดจากหน้า 1 ไปถึงไหน ฉันยังคงสามารถดูดัชนีเหล่านี้ได้หากฉันค้นหา URL แต่ไม่เช่นนั้น Google ก็ไม่รู้ว่ามีอยู่จริง SSL Labs แสดง "A" เมื่อฉันรันการทดสอบและไม่มีการดำเนินการด้วยตนเองที่แสดงใน Webmaster Tools มันน่าผิดหวังจริงๆ ฉันไม่ต้องการ SSL จริงๆ แต่ในที่สุด Google ก็ทำให้ฉันกลัว ตอนนี้ฉันเสียใจที่สวิตช์และพิจารณากลับไปที่ URL ที่ไม่ปลอดภัย มีอะไรอีกบ้างที่ฉันควรพลาด

2
ผู้ใช้สนับสนุนรูปภาพในไซต์ HTTPS โดยไม่มีการเตือนเนื้อหาแบบผสม
ฉันมีฟอรัมที่ผู้ใช้สามารถโพสต์ภาพได้เช่นเดียวกับฟอรัมส่วนใหญ่ ฉันได้ตั้งค่า HTTPS ทั่วทั้งไซต์แล้ว แต่แน่นอนว่ารูปภาพภายนอกส่วนใหญ่เชื่อมโยงโดยใช้ HTTP ไม่ใช่ HTTPS ดังนั้นการโหลดฟอรัมผ่าน HTTPS จะแสดงคำเตือนเนื้อหาแบบผสม ฯลฯ มีกลยุทธ์อะไรบ้างในการแก้ปัญหานี้ รูปภาพบางรูปมาจากเว็บไซต์ของฉันเองดังนั้นฉันจึงสามารถเขียน URL เหล่านั้นใหม่เพื่อใช้ HTTPS เนื่องจากฉันรู้ว่ามันจะใช้งานได้ แต่สำหรับ URL ภายนอกจำนวนมากไม่ทำงานกับ HTTPS ดังนั้นฉันจึงไม่สามารถเขียนแบบครอบคลุมได้ ฉันสามารถเขียนรูปภาพที่ไม่ปลอดภัยไปยังลิงก์แทนรูปภาพแบบอินไลน์ แต่นั่นไม่ได้ดูดีและอาจทำให้ผู้ใช้สับสน ทางออกที่ดีกว่า
9 https  images 

1
เราควรได้รับใบรับรอง EV หรือไม่
ผู้ให้บริการ SSL ประจำของเรากำลังเสนอใบรับรอง EV ในราคาต่ำกว่า US $ 200 และมันเกิดขึ้นเพียงว่าใบรับรองสำหรับไซต์อีคอมเมิร์ซ B2B ของเรากำลังจะหมดอายุในเดือนเดียว $ 200 ยังคงสมเหตุสมผลทีเดียว (แม้ว่าราคาใบรับรองปกติ "จะ 5 เท่า) เราควรทำ "เพียงเพราะ"? มีข้อเสียในการใช้ EV หรือไม่? นักการตลาดชอบเพราะเปลี่ยนเป็นสีเขียวแถบเบราว์เซอร์ใน IE และมันเกิดขึ้นเพื่อให้เหมาะกับโทนสีของเว็บไซต์ของเราอย่างสมบูรณ์;) เราไม่ได้เป็นธนาคาร แต่เราจัดการในรายละเอียดส่วนตัวตามกฎหมาย (เช่นความประสงค์การโอนธุรกิจการเลิกจ้าง ฯลฯ )
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.