Quel est l'avantage de forcer un site à se charger sur SSL (HTTPS)?

"rien de secret sur le site"

... Selon vous . Il y a peut-être une très bonne raison pour que quelqu'un veuille une connexion sécurisée. Cela crée (en partie) la vie privée:

Mon administrateur peut voir que je navigue sur un site d'images sur mon téléphone via l'URL, mais il ne peut pas dire si je regarde des photos de chats mignons ou de porno hardcore. Je dirais que c'est une sacrée bonne vie privée. "un contenu" et "le contenu" peuvent faire toute la différence dans le monde. - Agent_L

Vous pourriez penser que c'est insignifiant, ou peut-être que ce n'est pas un gros problème maintenant, mais pourrait l'être à un autre moment. Je crois fermement que personne d'autre que moi et le site Web ne doivent savoir exactement ce que je fais.

Cela crée de la confiance. Avoir le cadenas est un signe de sécurité et peut signifier un certain degré de compétence en ce qui concerne le site Web, et donc vos produits.

Cela vous rend moins cible, par exemple. Attaques MitM. La sécurité augmente.

Avec des initiatives comme Let's Encrypt , ce qui le rend beaucoup plus facile et libre , il n’ya pas beaucoup d’inconvénients. La puissance du processeur utilisée par SSL est négligeable de nos jours.

Vous obtenez HTTP/2 , le nouveau standard Web conçu pour améliorer considérablement les vitesses de chargement du site Web .

Étant donné que les constructeurs de navigateur ont choisi de prendre en charge HTTP/2 uniquement via HTTPS, l'activation de HTTPS (sur un serveur prenant en charge HTTP/2) est le seul moyen d'obtenir cette mise à niveau rapide.

(Extraits de ma réponse à une question similaire.)

HTTPS peut réaliser deux choses:

• Authentification . S'assurer que le visiteur communique avec le propriétaire du domaine réel.
• Cryptage . S'assurer que seuls le propriétaire du domaine et le visiteur peuvent lire leur communication.

Tout le monde convient probablement que HTTPS devrait être obligatoire lors de la transmission de secrets (tels que mots de passe, données bancaires, etc.), mais même si votre site ne traite pas de tels secrets, il existe plusieurs autres cas où et pourquoi l'utilisation de HTTPS peut être bénéfique.

Les attaquants ne peuvent pas altérer le contenu demandé.

Lors de l'utilisation de HTTP, des oreilles indiscrètes peuvent manipuler le contenu que vos visiteurs voient sur votre site Web. Par exemple:

• Inclure les logiciels malveillants dans le logiciel que vous proposez de télécharger (ou, si vous n’offrez aucun téléchargement de logiciel, les pirates commencent à le faire).
• Censure une partie de votre contenu. Changer vos expressions d'opinion.
• Injecter des publicités.
• Remplacer les données de votre compte de dons par les leurs.

HTTPS peut empêcher cela.

Les attaquants ne peuvent pas lire le contenu demandé.

Lors de l'utilisation de HTTP, les oreilles indiscrètes peuvent savoir quelles pages/quels contenus de votre hôte ont accès à vos visiteurs. Bien que le contenu lui-même puisse être public, il peut être problématique de savoir que quelqu'un le consomme:

• Il ouvre un vecteur d’attaque pour ingénierie sociale .
• Cela porte atteinte à la vie privée.
• Cela peut mener à la surveillance et à la punition (jusqu’à l’emprisonnement, à la torture, à la mort).

Ceci, bien sûr, dépend de la nature de votre contenu, mais ce qui semble être un contenu sans danger pour vous peut être interprété différemment par d'autres parties.

Mieux vaut prévenir que guérir. HTTPS peut empêcher cela.

Il empêche les attaques de type homme du milieu qui vous font penser que vous visitez votre site, mais présentent une page provenant d'un autre site et pouvant tenter d'obtenir des informations de votre part. Les données étant cryptées, il est également plus difficile pour un attaquant de manipuler la page telle que vous la voyez.

Parce que vous avez besoin d’un certificat SSL, cela signifie que vous êtes au moins le propriétaire du site, ce qui permet au moins de vérifier votre identité.

Des entreprises de marketing comme Hitwise paient leurs fournisseurs d’accès Internet pour recueillir des données sur votre site lorsque vous n’utilisez pas le protocole SSL. Les données sur votre site sont collectées et vous ne le savez peut-être pas:

• données démographiques des utilisateurs
• statistiques de visiteurs
• pages populaires
• mots-clés des moteurs de recherche (avec "non fourni", cela pose moins de problèmes de nos jours)

Et, pour ajouter encore une chose à toutes les réponses, je parlerai juste de latence. Parce qu'il semble que personne n’a écrit ici à ce sujet.

Une latence HTTP faible entre le client et le serveur est essentielle pour créer des sites Web réactifs et à chargement rapide.

TCP/IP seul a une liaison à 3 voies (la configuration initiale de la connexion pour un HTTP simple sur TCP nécessite 3 paquets). Lorsque SSL/TLS est utilisé, la configuration de la connexion est plus complexe, ce qui signifie que le temps de latence pour les nouvelles connexions HTTPS est inévitablement supérieur au HTTP en texte brut.

Le problème avec HTTP est que ce n’est pas sûr. Donc, si vous avez des données sensibles, vous avez besoin d'une forme de sécurité. Lorsque vous tapez quelque chose dans votre navigateur Web commençant par "https", vous demandez à votre navigateur d’utiliser une couche de chiffrement pour protéger le trafic. Cela fournit une protection raisonnable contre les oreilles indiscrètes, mais le problème est qu’elle sera plus lente. Puisque nous voulons chiffrer notre trafic, des calculs sont nécessaires, ce qui ajoute du temps. Cela signifie que si vous ne concevez pas votre système correctement, votre site Web paraîtra lent aux utilisateurs.

De conclure:

J'ai un grand site uniquement contenu; aucune connexion ou déconnexion, aucun nom d'utilisateur, aucune adresse e-mail, aucune zone sécurisée, rien de secret sur le site, nada. Les gens viennent simplement sur le site et vont de page en page et regardent le contenu.

Si tel est le cas, je n'utiliserai pas du tout le protocole SSL. J'aimerais avoir ma page lorsque vous cliquez dessus pour qu'elle s'ouvre en une seconde. C'est de l'expérience utilisateur. Vous faites ce que vous voulez, je ne mets pas de certificats sur tout ce que je fabrique. Dans ce cas particulier, je ne l'utiliserais pas du tout.

Outre les avantages mentionnés par d’autres, il existe une raison qui vous fera passer à SSL, à moins que vous ne vous préoccupiez pas de vos visiteurs qui utilisent Chrome - les nouvelles versions de Chrome (à partir de autant que je me souvienne, la fin de l'année va afficher un avertissement (qui éloignera les utilisateurs de votre site) par défaut pour tous les sites qui n'utilisent pas le protocole HTTPS.

// EDIT:

Voici des liens vers deux articles plus détaillés, bien que je n'arrive pas à trouver celui que j'ai lu au moment où ils prévoient d'introduire officiellement la fonctionnalité:

https://motherboard.vice.com/read/google-will-soon-shame-all-websites-that-are-unencrypted-chrome-https

http://www.pandasecurity.com/mediacenter/security/websites-that-arent-using-https/

D'autres réponses ont évoqué les avantages du protocole HTTPS. Par un utilisateur serait-il forcé à utiliser HTTPS? Pour deux raisons:

• Si vous donnez aux utilisateurs la possibilité de ne pas utiliser HTTPS, ils ne le feront probablement pas, d'autant plus que la plupart des navigateurs utilisent par défaut http: // et non https: // lors de la saisie d'un domaine dans la barre d'adresse.
• En implémentant à la fois une version sécurisée et une version non sécurisée, vous augmentez la surface d'attaque de la connexion. Vous donnez aux attaquants la possibilité d'effectuer attaque par déclassement même si vous pensez que vous utilisez la version sécurisée.
• Si vous redirigez chaque URL http: // vers l'URL équivalente: https: //, cela simplifie la vie de l'administrateur du serveur et des moteurs de recherche. Personne ne doit s'inquiéter de savoir si http: // et https: // sont censés être équivalents ou pour indiquer des choses complètement différentes. En redirigeant les uns vers les autres, il est évident pour tout le monde que les URL doivent être utilisées.

La réponse simple est que il n'y a pas de bonne raison de ne pas le faire. Dans le passé, il y avait des arguments sur l'utilisation de SSL uniquement lorsque cela était absolument nécessaire (par exemple sur des sites de commerce électronique collectant des informations de paiement).

Celles-ci étaient en grande partie liées à la procédure d'installation des certificats SSL, au coût, à la charge supplémentaire sur le serveur Web et aux limitations du réseau - à une époque où les utilisateurs n'avaient pas accès à la large bande, etc. Aucune de ces raisons ne s'applique vraiment en 2016.

En termes de référencement, nous savons que l'objectif de la plupart des moteurs de recherche est de fournir les meilleurs résultats à leurs utilisateurs. Pour ce faire, vous pouvez leur attribuer une connexion sécurisée au site qu'ils consultent. À cet égard, les moteurs de recherche ne se soucient pas de savoir s’il existe des données "sensibles" sur le site (présentées ou collectées); il est tout simplement vrai que si le site est desservi par HTTPS, les risques potentiels d'authentification et de cryptage sont considérablement minimisés, de sorte que le site serait considéré comme "meilleur" que le site équivalent sans HTTPS.

Essentiellement, sa mise en œuvre est si simple et directe qu’elle est considérée aujourd'hui comme une pratique exemplaire. En tant que développeur Web, je songe simplement à installer un certificat SSL, puis à forcer toutes les demandes via HTTPS (très facile à utiliser. .Htaccess ou un équivalent) à faire partie intégrante de tout site ou application Web que je construis.

En plus des autres réponses, les navigateurs devraient (comme dans RFC 2119) envoyer l'en-tête User-Agent. Il fournit suffisamment d'informations sur la plate-forme qu'un utilisateur utilise s'il envoie le User-Agent réel. Si Eve peut écouter une demande d'Alice et si elle envoie le User-Agent réel, Eve saura quelle plate-forme Alice utilise sans qu'Alice se connecte au serveur d'Eve. Il sera plus facile de pirater l'ordinateur d'Alice avec une telle connaissance.

Vous avez deux options pour sécuriser votre domaine principal (mysite.com) et ses sous-domaines (play.mysite.com et test.mysite.com). SSL n'est pas uniquement destiné aux sites de commerce électronique et aux sites de paiement où les transactions financières ou les identifiants de connexion sont partagés sur le site Web. Il est tout aussi important pour les sites Web basés sur le contenu. Les attaquants recherchent toujours un site Web HTTP simple ou une faille dans le site Web. SSL non seulement assure la sécurité mais authentifie également votre site Web. Le principal avantage de l’utilisation de SSL sur les sites Web basés sur le contenu est que,

• Vous pouvez éviter les attaques de type intermédiaire qui peuvent altérer le contenu du site.

• En outre, votre site Web aura une authenticité qui informe les visiteurs que leurs informations seront protégées s'ils partagent avec le site.

• Ils obtiennent l'assurance de l'authenticité du site.

• De plus, votre site Web ne contiendra plus d'injection de publicités malveillantes, d'exploits, de widgets indésirables, de logiciels de remplacement et de dommages aux pages Web lorsque SSL est installé sur votre site Web.

• Le certificat SSL offre un sceau de site statique qui peut être placé sur n’importe quelle page Web à des fins d’assurance. Les clients peuvent cliquer sur le sceau pour connaître les détails du certificat SSL installé.