Frage Gibt es einen Grund, HTTPS auf einer Website nicht zu erzwingen?


Eine Website, die ich häufig nutze, hat sich schließlich dafür entschieden, TLS auf ihren Servern zu aktivieren, nur um es nicht wie viele andere Websites zuzulassen. Der Betreuer behauptet, dass TLS Muss optional sein. Warum?

Auf meiner eigenen Website habe ich TLS und HSTS lange Zeit eingerichtet, und die schwächeren Cipher Suites sind deaktiviert. Der Klartextzugriff wird garantiert mit einem HTTP 301 zu der TLS-geschützten Version ummauert. Beeinflusst das meine Website negativ?


49
2018-04-01 13:46


Ursprung


Sie befürchten, dass HSTS sie in Schwierigkeiten bringen wird, wenn etwas schief geht (d. H. Ihre freie Zertifizierungsstelle beendet die Ausstellung von Zertifikaten oder wird aufgrund eines Problems aus den Trust-Stores des Browsers entfernt). Mit dem aktuellen TLS-Ökosystem erstellen Sie Abhängigkeiten zu den vertrauenswürdigen Zertifizierungsstellen / Browseranbietern. Es ist derzeit schwer zu vermeiden und es lohnt sich, aber Sie können dies immer noch als ein Problem sehen und HTTPS nicht als Lösung durchsetzen, um unabhängig zu bleiben, falls etwas passiert. - allo
jemand möchte die Anforderung von tls für h2 erwähnen, die weit schneller als http1.1 ist. gut für dich tun hsts, ich habe vor kurzem meine Website für die Hardware-Preload-Liste, hoffentlich kann ich nur Port 80 alle zusammen deaktivieren - Jacob Evans
Sieh dir das an: Sicherheit.stackexchange.com/questions/53250/... - d33tah
@gerrit Dieses Argument steht nicht vor kostengünstigen und kostenlosen Zertifizierungsstellen wie Let's Encrypt. - Maxthon Chan
Let's Encrypt funktioniert nicht mit jedem Host und ist nicht so einfach wie ein besserer Host. Ich verwende App Engine, die aus technischen Gründen nicht (direkt) unterstützt wird. - Carl Smith


Antworten:


Es gibt mehrere gute Gründe, TLS zu verwenden

(und nur wenige marginale Gründe, dies nicht zu tun).

  • Wenn die Website über eine Authentifizierung verfügt, verwenden Sie HTTP-Expose zum Stehlen von Sitzungen und Kennwörtern.
  • Selbst auf statischen, lediglich informativen Websites stellt TLS sicher, dass niemand die Daten manipuliert hat.

  • Schon seit Google I / O 2014Google hat mehrere Schritte unternommen, um alle Websites zur Verwendung von HTTPS zu ermutigen:

  • Der Mozilla Security Blog hat ebenfalls angekündigt Veraltetes nicht sicheres HTTP indem Alle neuen Funktionen nur zum Sichern von Websites verfügbar und Nach und nach wird der Zugriff auf Browserfunktionen für nicht sichere Websites eingestellt, insbesondere auf Funktionen, die die Sicherheit und Privatsphäre von Benutzern gefährden.

Es gibt auch einige gute Gründe, um TLS durchzusetzen

Wenn Sie bereits ein vertrauenswürdiges Zertifikat haben, warum nicht immer verwenden? Praktisch alle aktuellen Browser unterstützen TLS und haben Stammzertifikate installiert. Das einzige Kompatibilitätsproblem, das ich seit Jahren gesehen habe, waren Android - Geräte und Fehlende Zwischenzertifizierungsstelle da Android nur Root-CAs direkt vertraut. Dies kann leicht verhindert werden, indem der Server so konfiguriert wird, dass die Zertifikatskette zurück an die Stammzertifizierungsstelle gesendet wird.

Wenn Ihr Betreuer trotzdem HTTP-Verbindungen ohne direkte zulassen möchte 301 Moved Permanentlyzum Beispiel um den Zugriff von einigen wirklich alten Browsern oder mobilen Geräten zu gewährleisten, Es gibt keine Möglichkeit für den Browser zu wissen, dass Sie sogar HTTPS konfiguriert haben. Darüber hinaus sollten Sie nicht bereitstellen HTTP Strikte Transportsicherheit (HSTS) ohne 301 Moved Permanently:

7.2.  HTTP Request Type

   If an HSTS Host receives a HTTP request message over a non-secure
   transport, it SHOULD send a HTTP response message containing a status
   code indicating a permanent redirect, such as status code 301
   (Section 10.3.2 of [RFC2616]), and a Location header field value
   containing either the HTTP request's original Effective Request URI
   (see Section 9 "Constructing an Effective Request URI") altered as
   necessary to have a URI scheme of "https", or a URI generated
   according to local policy with a URI scheme of "https").

Das Problem der verschiedenen Sites, die für beide Protokolle konfiguriert sind, wird von erkannt Das Tor-Projekt und das Elektronische Grenzstiftung und adressiert von einem Multibrowser HTTPS überall Erweiterung:

Viele Websites im Internet bieten eine begrenzte Unterstützung für die Verschlüsselung   HTTPS, aber machen es schwierig zu bedienen. Zum Beispiel können sie standardmäßig auf   unverschlüsseltes HTTP oder füllen Sie verschlüsselte Seiten mit Links, die zurückgehen   die unverschlüsselte Website.

Gemischter Inhalt war auch ein großes Problem aufgrund möglicher XSS-Angriffe auf HTTPS-Sites durch Modifizieren von JavaScript oder CSS, die über nicht sichere HTTP-Verbindung geladen wurden. Daher warnen heute alle Mainstream-Browser Benutzer vor Seiten mit gemischten Inhalten und weigern sich, diese automatisch zu laden. Diese macht es schwierig, eine Site zu pflegen ohne das 301 Redirects auf HTTP: Sie müssen sicherstellen, dass jede HTTP-Seite nur HTTP-Contect (CSS, JS, Bilder usw.) lädt und jede HTTPS-Seite nur HTTPS-Inhalt lädt. Das ist mit beiden Seiten sehr schwer zu erreichen.


8
2018-04-01 15:25



If your maintainer still would like to allow HTTP connections without direct 301 Moved Permanently, say for ensuring access from some really old browsers or mobile devices, HSTS is the correct choise as it only enforces HTTPS when it is clear that the browser supports it aber in diesem Fall weiß der Client (selbst HTTPS-kompatibel) nie von der HTTPS-Version, dass er HTTP anfänglich lädt. - Cthulhu
Zu Ihrem letzten Absatz: Der HSTS-Header wird während einer Nicht-HTTPS-Verbindung ignoriert. - Cthulhu
HSTS Host MUST NOT include the STS header field in HTTP responses conveyed over non-secure transport.  If an HTTP response is received over insecure transport, the UA MUST ignore any present STS header field(s).  tools.ietf.org/id/draft-ietf-websec-strict-transport-sec-14.txt - Cthulhu
Danke, dass du auf meinen falschen Hinweis hingewiesen hast, Cthulhu! Davon inspiriert, habe ich meine Antwort wesentlich verbessert. Bitte seien Sie herzlich willkommen, auch gegenüber den neuen Inhalten kritisch zu sein. :) - Esa Jokinen


In der heutigen Zeit sind TLS + HSTS Markierungen dafür, dass Ihre Website von Fachleuten verwaltet wird, denen vertraut werden kann, was sie tun. Das ist ein neuer Mindeststandard für Vertrauenswürdigkeit, wie Google nachweist, dass sie für Websites, die dies tun, ein positives Ranking liefern werden.

Auf der anderen Seite ist maximale Kompatibilität. Es gibt immer noch ältere Kunden, vor allem in Teilen der Welt, die nicht die Vereinigten Staaten, Europa oder China sind. Plain HTTP wird immer funktionieren (obwohl nicht immer funktionieren Gut; das ist eine andere Geschichte).

TLS + HSTS: Optimierung für Suchmaschinen-Ranking
Einfaches HTTP: Optimieren Sie die Kompatibilität

Hängt davon ab, was mehr für dich zählt.


62
2018-04-01 13:59



Vielleicht bin ich wählerisch, aber dieser erste Satz scheint ein bisschen weit hergeholt zu sein: Eine Website, die https ist, sagt nichts über die Professionalität oder die Vertrauenswürdigkeit der Verantwortlichen aus. Eine Site kann https sein und immer noch von Leuten entwickelt / verwaltet werden, die Eingaben nicht bereinigen, wodurch die Site für SQL-Injection oder XSS anfällig wird; oder es kann https sein und ungültig, nicht zugänglich oder nicht verwendbar sein. - Alvaro Montoro
Die Verwendung von HTTPS ist keine Garantie für Professionalität, aber das Fehlen von HTTPS ist das Gegenteil. - Esa Jokinen
Die Verwendung von TLS und HSTS sind Signale, Teil eines viel größeren Arrays, dass die Website lesenswert sein könnte. Im Gegensatz zu anderen, es ist trivial einfach auf die Anwesenheit von zu prüfenDeshalb verwendet Google es als Proxy für den Rest. - sysadmin1138♦
@Braiam Stack Exchange migriert nur nach https und wird bald mit der Verwendung von hsts beginnen. Http ist immer noch verfügbar, nicht wegen der Kompatibilität, sondern weil sie langsam und vorsichtig sind und technisch schwierig zu migrieren sind. - captncraig
@esajohnson - Mangel an https zeigt nicht Unprofessionalität. Es zeigt, dass es kein "Bedürfnis" dafür gibt. Zum Beispiel ein CentOS-Spiegel. - warren


Es gibt einen guten Grund für das Einfache schreibgeschützt Websites, die HTTPS nicht verwenden.

  • Web-Caches können keine Bilder zwischenspeichern, die über HTTPS transportiert werden.
  • Einige Teile der Welt haben sehr niedrige internationale Verbindungen, sind also abhängig von den Caches.
  • Das Hosten von Bildern aus einer anderen Domäne bringt Fähigkeiten mit sich, von denen Sie die Operatoren für kleine nicht erwarten können schreibgeschützt Websites zu haben.

31
2018-04-01 23:30



Schreibgeschützte Inhalte können auf CDN bereitgestellt werden, wenn Sie auf diese Länder ausgerichtet sind. Die CDN spiegelt die statischen Inhalte mit ihren eigenen Mitteln wider und versorgt sie immer noch über HTTPS. CDN kann ziemlich leicht zu finden sein und für kleine Websites, die nicht so teuer sind. - Maxthon Chan
@MaxthonChan, versuche meiner Mutter zu erklären, was ein CDN ist ..... Aber sie kann eine Website mit den Zeiten der örtlichen Gottesdienste einrichten. - Ian Ringrose
@MichaelHampton Wie kann ein Cache das Bild aus einem HTTPS-Stream lesen, ohne die Beschreibungsschlüssel zu haben? Und würden Sie einem ISP mit Ihren Schlüsseln vertrauen? - Ian Ringrose
Sie sollten klarstellen, über welche Caches Sie sprechen. - Michael Hampton♦
@IanRingrose Wenn deine Mutter eine Website mit lokalen Gottesdienst-Informationen erstellt, ist es unwahrscheinlich, dass Caching-Verhalten bei internationalen Verbindungen ins Spiel kommt, es sei denn, es handelt sich um eine sehr beliebte Gemeinde. - Jason C


Der Betreuer behauptet, dass TLS optional sein muss. Warum?

Um die Antwort auf diese Frage wirklich zu kennen, müssen Sie sie fragen. Wir können jedoch einige Vermutungen anstellen.

In Unternehmensumgebungen ist es üblich, dass die IT eine Firewall installiert, die eingehenden und ausgehenden Datenverkehr auf Malware, verdächtige CnC-ähnliche Aktivitäten, für die Arbeit ungeeignete Inhalte (z. B. Pornografie) usw. überprüft. Bei verschlüsseltem Datenverkehr wird dies viel schwieriger. Es gibt im Wesentlichen drei mögliche Antworten:

  1. Verzichten Sie darauf, diesen Verkehr zu überwachen.
  2. Installieren Sie eine Stammzertifizierungsstelle auf den Computern der Benutzer, damit Sie die MitM-Entschlüsselung und -Inspektion durchführen können.
  3. Blockierter Großhandelsverkehr.

Für einen betroffenen Systemadministrator ist keine dieser Optionen besonders attraktiv. Es gibt sehr viele Bedrohungen, die ein Unternehmensnetzwerk angreifen, und es ist ihre Aufgabe, das Unternehmen vor ihnen zu schützen. Das Blockieren einer großen Anzahl von Websites führt jedoch zu einer erhöhten Anzahl von Benutzern, und die Installation einer Stammzertifizierungsstelle kann sich ein wenig unangenehm anfühlen, da sie Datenschutz- und Sicherheitsaspekte für Benutzer mit sich bringt. Ich erinnere mich daran, einen Redakteur der Sysadmin Petition gesehen zu haben (sorry, ich kann den Thread nicht finden), als sie HSTS zum ersten Mal anschalteten, weil er genau in dieser Situation war und nicht alles reddit blocken wollte, nur weil er vom Geschäft gezwungen wurde um die Porno-fokussierten Subreddits zu blockieren.

Die Räder der Technologie halten weiter an, und Sie werden viele finden, die argumentieren, dass diese Art von Schutz altmodisch ist und auslaufen sollte. Aber es gibt immer noch viele, die es praktizieren, und vielleicht sind es die, mit denen sich dein mysteriöser Betreuer befasst.


14
2018-04-01 18:16



Wie wäre es mit dem Beenden von SSL am Frontend Server / Load Balancer / Similar und dem anschließenden Protokollieren des Datenverkehrs? - eis
@eis Dies setzt voraus, dass das Unternehmen jede Website steuert, die Mitarbeiter möglicherweise besuchen, was unwahrscheinlich ist. Der Beitrag scheint nicht über TLS auf einer Intranet-Website zu sein. - Xiong Chiamiov


Es kommt auf Ihre Sicherheitsanforderungen, die Benutzerauswahl und das Risiko eines impliziten Downgrades an. Die Deaktivierung alter Verschlüsselungscodes auf der Serverseite ist größtenteils notwendig, da Browser im Namen der Benutzererfahrung / Bequemlichkeit auf Client-Seite mit absolut schrecklichen Verschlüsselungscodes durchgehen. Sicher, nichts von deinem, dass hängt davon ab Auf einem sicheren Kanal, den der Benutzer mit einer unsicheren Methode nicht erreichen kann, ist natürlich auch sehr gut zu klarkommen.

Ich erlaube mir nicht, explizit auf unsicheres HTTP herabzustufen, wenn ich der Meinung bin, dass Ihr Blog-Beitrag darüber, warum Sie Python mehr mögen als Ruby (nicht sagen, dass Sie es tun, nur ein generisches Beispiel), etwas ist, was die Spione oder die Öffentlichkeit nicht wissen Ich habe mich nur unnötig in den Weg gestellt, in der Annahme, dass HTTPS für mich trivial sein wird.

Es gibt heute eingebettete Systeme, die TLS nicht verwenden können, oder solche, die auf alten Implementierungen stecken (ich denke, es ist furchtbar schlecht, dass dies so ist, aber als ein mächtiger Benutzer von [insert embedded Gerät hier], kann ich manchmal nicht ändern).

Hier ist ein lustiges Experiment: Versuchen Sie, eine neuere Version von LibreSSL von der Upstream-Site über HTTPS mit einer ausreichend alten TLS / SSL-Implementierung herunterzuladen. Du wirst es nicht können. Ich habe neulich auf einem Gerät mit einem älteren OpenSSL-Build von 2012 oder so versucht, weil ich dieses eingebettete System auf sicherere, neue Sachen aus der Quelle aufrüsten wollte - ich habe nicht den Luxus eines vorgefertigten Pakets. Die Fehlermeldungen, die ich ausprobiert habe, waren nicht gerade intuitiv, aber ich nehme an, dass dies daran lag, dass mein älterer OpenSSL das richtige Zeug nicht unterstützte.

Dies ist ein Beispiel, wo der Umzug der einzige-HTTPS kann Menschen wirklich schaden: Wenn Sie nicht den Luxus der letzten vorgefertigten Pakete haben und das Problem selbst beheben wollen, indem Sie von der Quelle, Sie sind ausgesperrt. Zum Glück können Sie im LibreSSL-Fall auf explizites HTTP-Request zurückgreifen. Sicher, dies wird Sie nicht davor bewahren, dass ein Angreifer Ihren Datenverkehr bereits umschreibt, Quellpakete durch kompromittierte Versionen ersetzt und alle Prüfsummen in HTTP-Körpern umschreibt, die die Pakete beschreiben, die auf den besuchten Webseiten zum Download zur Verfügung stehen, aber trotzdem nützlich häufigerer Fall.

Die meisten von uns sind nicht ein ungesicherter Download weg von einem APT (Advanced Persistent Thread: Sicherheitsjargon für nationale Geheimdienste und andere extrem gut ausgestattete Cyber-Bedrohungen) gehört. Manchmal will ich einfach nur wget einige Klartext-Dokumentation oder ein kleines Programm, dessen Quelle ich schnell auditieren kann (meine eigenen kleinen Hilfsprogramme / Skripte auf GitHub zum Beispiel) auf eine Box, die die neuesten Chiffre-Suites nicht unterstützt.

Persönlich würde ich folgendes fragen: Ist Ihr Inhalt so beschaffen, dass eine Person legitim entscheiden könnte: "Ich bin in Ordnung, wenn ich auf öffentliches Wissen zugreife"? Gibt es eine plausible Chance eines echten Risikos für nicht-technische Personen, die versehentlich Ihre Inhalte auf HTTP herabstufen? Gewichten Sie Ihre Sicherheitsanforderungen, erzwungenen Datenschutz für Ihre Benutzeranforderungen und das Risiko von impliziten Herabstufungen gegen die Fähigkeit von Benutzern, die die Risiken verstehen, die eine fundierte Entscheidung treffen, von Fall zu Fall ungesichert zu werden. Es ist völlig legitim zu sagen, dass es für Ihre Website keinen guten Grund gibt, HTTPS nicht zu erzwingen - aber ich denke, es ist fair zu sagen, dass es immer noch gute Anwendungsfälle für einfaches HTTP gibt.


5
2018-04-02 18:12



"versuchen Sie, eine neuere Version von LibreSSL von der Upstream-Site über HTTPS mit einer ausreichend alten TLS / SSL-Implementierung herunterzuladen" Die Kehrseite davon ist natürlich: Versuchen Sie, einen neueren Browser mit einem ausreichend alten Browser herunterzuladen, der beispielsweise nur HTTP / 1.0 implementiert, ohne Unterstützung für die Host: Header. Oder versuchen Sie moderne Websites mit einem Webbrowser zu surfen, der nur das Javascript von 2001 unterstützt. Irgendwann müssen wir als Community weitermachen, was leider einige Dinge kaputt macht. Die Frage wird dann: Ist der Mehrwert den Bruch wert? - α CVn
@ MichaelKjörling Das sind auch Probleme unterschiedlicher Stärke. Ich füge neue Compiler-Versionen zu dieser Liste hinzu. Einige sind besser zu verteidigen als andere. Ich bin mir nicht sicher, ob Sie Meinungsverschiedenheiten geltend machen oder warum, wenn Sie es sind: Im zweiten Satz meines Beitrags stimme ich dem zu ist gerechtfertigt, um alte Chiffren auf einer HTTPS-Verbindung zu verhindern, da es die meisten Benutzer vor Downgrade-Angriffen schützt, für die sie sonst keine aussagekräftige Sichtbarkeit oder Abwehr haben. (Ich glaube nicht, dass die meisten modernen Websites, die nicht grade degradieren, entfernt gerechtfertigt sind, aber das ist irgendwie nebensächlich.) - mtraceur
@ MichaelKjörling Um zu verdeutlichen, war der Punkt, um dies zu bringen, weil es ein Beispiel dafür ist, wo Bereitstellen von einfachem HTTP für den Benutzer hatte einen klaren Vorteil, was der Kernpunkt der Frage war, die beantwortet wurde. Es war in keiner Weise ein negatives Licht auf die OpenBSD / LibreSSL-Projekte zu werfen, für die ich großen Respekt habe. Ich dachte, der zweite Satz des ersten Absatzes hätte eine solche negative Auslegung ausgeschlossen. Wenn Sie denken, dass das unklar war oder besser formuliert werden könnte, können Sie meine Antwort bearbeiten oder Verbesserungen vorschlagen. - mtraceur


Es gibt eine Menge Diskussion darüber, warum Tls gut ist - aber das wurde nie wie im ursprünglichen Beitrag gefragt.

Maxthon hat 2 Fragen gestellt:

1) Warum hat eine zufällige, nicht benannte Website beschlossen, sowohl http und https Präsenzen zu halten

2) Gibt es eine negative Auswirkung auf Maxthon, die nur 301 Antworten auf HTTP-Anfragen liefert

In Bezug auf die erste Frage wissen wir nicht, warum die Anbieter sowohl HTTP- als auch HTTPS-Sites beibehalten. Es kann viele Gründe geben. Zusätzlich zu den Punkten über Kompatibilität, verteiltes Caching und einige Hinweise zur geopolitischen Zugänglichkeit gibt es auch Überlegungen zur Integration von Inhalten und zur Vermeidung hässlicher Browser-Nachrichten über die Unsicherheit des Inhalts. Wie Alvaro betonte, ist TLS in Bezug auf Sicherheit nur die Spitze des Eisbergs.

Die zweite Frage ist jedoch zu verantworten. Wenn Sie einen Teil Ihrer Website auf Ihrer Website über HTTP bereitstellen, wenn für den sicheren Betrieb tatsächlich https erforderlich ist, erhalten Sie einen nutzbaren Vektor für Angriffe. Es ist jedoch sinnvoll, dies beizubehalten, um zu ermitteln, wo der Datenverkehr auf Port 80 auf Ihrer Website falsch ausgerichtet ist, und um die Ursache zu beheben. I.e. Es gibt sowohl negative Auswirkungen als auch die Möglichkeit einer positiven Auswirkung. Das Nettoergebnis hängt davon ab, ob Sie Ihre Arbeit als Administrator erledigen.

Sysadmin1138 sagt, dass https Auswirkungen auf Seo-Rankings hat. Während Google gesagt hat, dass es Rankings beeinflusst, ist das die einzige zuverlässige Studien Ich habe gesehen, dass der Unterschied klein ist. Dies wird nicht von Menschen geholfen wer sollte es besser wissen mit der Behauptung, dass Websites mit dem höchsten Rang eine HTTPS-Präsenz aufweisen, eine HTTPS-Präsenz deshalb verbessert Rankings.


3
2018-04-03 22:52





In der Vergangenheit musste ich HTTP anstatt HTTPS verwenden, weil ich es wollte <embed> Seiten von anderswo, die selbst über HTTP bedient wurden, und sie werden nicht anders funktionieren.


1
2018-04-04 11:52



Sie können Ihren Server verwenden, um eine SSL-Version reversieren zu lassen. - Maxthon Chan


Das ist kein gut Grund, weil es bedeutet, dass Sie schlechte / kaputte / unsichere Clients haben, aber wenn es automatisierte Prozesse gibt, die auf Ressourcen über das vorhandene zugreifen http:// URLs, ist es möglich, dass einige von ihnen nicht einmal https unterstützen (z.B. Busybox wget, das intern keine TLS-Unterstützung hat und erst kürzlich über einen openssl-Child-Prozess hinzugefügt wurde) und würde brechen, wenn sie an eine https-URL weitergeleitet würden, der sie nicht folgen können.

Ich wäre versucht, mit dieser Möglichkeit umzugehen, indem ich die Umleitungsregel schreibe, um unbekannte (oder bekannte - Legacy) User-Agent-Strings von der Umleitung auszuschließen und sie über http auf den Inhalt zugreifen zu lassen, so dass die tatsächlichen Browser davon profitieren können erzwungene https / hsts.


1
2018-04-03 16:08



Erinnern Sie mich daran, vor wie vielen Jahrzehnten ein gut gepflegtes Tool (z. B. wget) HTTPS nicht unterstützte? - Oleg V. Volkov
@ OlegV.Volkov: Ich glaube, Sie haben das Wort busybox in meiner Antwort verpasst. - R..
Habe es überprüft - nun, jetzt sehe ich. Ich verstehe nicht wirklich warum, dann kann ich nicht einfach das verdammte Ding bauen und dann Bauwerkzeuge nicht verpacken, aber was auch immer. Im Nachhinein habe ich mich auch an einige weitere Fälle erinnert, in denen die Leute auf abgespeckte oder veraltete Tools beschränkt waren und es gut wäre, einfaches HTTP zu haben. Könnten Sie bitte die Obergrenzen korrigieren, damit ich auch nach der Bearbeitung wieder zur Abstimmung zurückkehren kann? - Oleg V. Volkov


Da sind sehr wenige gut Gründe für die Verwendung von HTTP anstelle von HTTPS auf einer Website. Wenn Ihre Website Transaktionen jeglicher Art verarbeitet oder sensible oder personenbezogene Daten speichert, müssen Sie unbedingt HTTPS verwenden, wenn diese Daten sicher sein sollen. Der einzige vernünftige Grund, den ich sehen würde, wenn ich HTTPS nicht durchsetze, ist, wenn Ihre Website auf Caching angewiesen ist, da HTTPS nicht mit Caching funktioniert. Es lohnt sich jedoch oft, ein wenig Leistung zu opfern, um die Sicherheit Ihrer Website zu gewährleisten. Es ist auch möglich, dass Ihre Kunden HTTPS nicht unterstützen, aber wirklich, im Jahr 2017 sollten sie.


1
2018-04-07 16:25