Въведение
През последните години наблюдаваме интернет и асортимента от индустрии, които го задвижват (т.е. браузъри, търсачки и т.н.), които започват да взимат по-сериозно сигурността на потребителите. Chrome е вече предупреждаване на потребителите срещу HTTP уебсайтове с повече браузъри, готови да следват, докато Google Търсене потвърди, че те дават повишаване на класирането в търсачките HTTPS уебсайтове.
Разработки като тези са мотивирали значителна част от собствениците на уебсайтове да преместят сървърите си от стария, несигурен HTTP към по-сигурния алтернативен HTTPS. (HTTPS се счита за по-сигурен, тъй като изисква сървърите да бъдат удостоверени чрез SSL сертификати като средство за защита на потребителите от повечето видове мрежови атаки.)
Въпреки това, по-голямата част от уебсайтовете са въвели HTTPS само за най-критичните си компоненти, като например вход или POST заявки, но все още могат да използват HTTP за други „некритични“ функции.
Това има смисъл в първите дни на HTTPS, тъй като шифрованите връзки са по-скъпо изчислителни поради необходимостта от изпълнение ръкостискания за всяка нова връзка. Освен това, по това време много широко използвани платформи за уеб разработка, библиотеки и среди не са били готови за HTTPS - факт, който причинява на администраторите и разработчиците безкрайни главоболия под формата на сривове на приложения през нощта или неясни грешки при изпълнение.
Разбира се, това вече не е вярно - всъщност, както ще спори тази статия, не използвайки HTTPS за all Връзките на уебсайта ви всъщност са лоши за вашия бизнес.
Смесено съдържание
Обаждат се уебсайтове, които не обслужват цялото си съдържание през HTTPS смесено съдържание уебсайтове. Академик хартия публикувана през 2015 г., установява, че над 43% от тяхната извадка от топ 100,000 XNUMX от Alexa обслужват поне един тип смесено съдържание.
Въпреки че това не звучи като голяма работа, смесеното съдържание може да бъде доста опасно за потребителите, но може да има и отрицателни ефекти върху уебсайтовете.
Въпроси на сигурността
Най-важната причина да използвате HTTPS за целия си уебсайт е сигурността. Една незащитена HTTP връзка е необходима на всички хакери. Човек в средата (MITM) нападатели може да замени всяко HTTP съдържание на вашата страница с цел кражба на идентификационни данни и сесии, придобиване на чувствителни данни или стартиране на експлоатации на браузъра и инсталиране на зловреден софтуер на компютрите на вашите посетители.
Нарушеният от уебсайта ви компрометиран, естествено ще накара потребителите ви да се доверяват и да го избягват в бъдеще, като на практика ще навредят на онлайн репутацията ви.
Както Firefox, така и Chrome са започнали за блокиране на смесено съдържание по подразбиране, което позволява на потребителите да изберат ръчно да зареждат съдържание през HTTP. Въпреки това, тъй като смесеното съдържание представлява риск за сигурността, и двата браузъра показват предупреждение за смесено съдържание на потребителите, което също може да повлияе негативно на репутацията на уебсайта Ви.
Проблеми с изпълнението
Освен сигурността, все по-голямото приемане на HTTP / 2 от индустрията донесе многобройни подобрения на производителността и сигурността в мрежата.
Въпреки че увеличението на производителността изглежда контраинтуитивно от HTTP / 2 работи само над криптирани HTTPS връзки, протоколът позволява на браузърите да използват единична криптирана връзка с HTTPS уеб сървър за всичките им комуникации.
Използването на същата връзка премахва наложените режийни разходи чрез многократно установяване на нови (т.е. това ръкостискане отново). Това означава, че прескачането от криптирани HTTPS връзки към некриптирани HTTP на сайт със смесено съдържание всъщност е по-бавно и по-взискателно от посещението на напълно защитен сайт, използвайки една единствена HTTPS връзка.
HTTP / 2 също реализира 0-RTT режим на възобновяване на сесията, позволяващ на браузърите да възобновят пауза на сесия с уебсайта на HTTPS, който са посетили преди, като се използва само една заявка (вместо пълно ръкостискане). Това прави възобновяването на HTTP / 2 поне толкова бързо, колкото нешифрованата HTTP връзка, като същевременно осигурява всички предимства на HTTPS. Обслужването на смесено съдържание означава, че вашият уебсайт не може да се възползва максимално от тази или някоя от другите отлични характеристики на HTTP / 2.
И в двата случая HTTP / 2 подобрява скоростта на връзката на посетителя ви с вашия сайт - и скоростта има значение. Изследвания са показали през годините, че отзивчивостта и скоростта на зареждане на страницата са критични изисквания за дизайн на потребителския интерфейс. Колкото по-бавно е времето за реакция на уебсайта, толкова по-малка е вероятността потребителите да останат ангажирани и ангажираността на потребителите пряко се отразява на потребителското изживяване на уебсайта Ви (и съответно на процента на реализация).
Смесеното съдържание може също да повлияе на производителността на нивото на основните уеб технологии, използвани във вашия уебсайт. Браузъри сега ограничете функциите на JavaScript като Сервизните работници и натискайте известия за осигуряване само на контексти, защото в противен случай биха могли да бъдат злоупотребявани от хакери за злонамерени цели. Това отново означава, че вашият уебсайт не може да се възползва от никоя от тези технологии, когато предлага смесено съдържание.
SEO проблеми
Търсачката за оптимизация (SEO) е хлябът и маслото на онлайн търговците на пазара. SEO се отнася до практиката за подобряване на класирането на уебсайт в страницата с резултати от търсенето (SERP), което влияе пряко върху обема на трафика на уебсайта.
Google потвърди, че техният алгоритъм за класиране на резултатите от търсенето дава малък тласък на ранг на уебсайтове, които се обслужват през HTTPS. Тъй като тласъкът е в реално време и за всеки URL, обслужването на уеб сайт в неговата цялост през HTTPS ще доведе до SEO тласък за целия уебсайт (вместо само тези URL адреси, които се обслужват през HTTPS). Разбира се, това повишаване на сигнала за класиране е доста леко в сравнение с други като качествено съдържание или потребителски трафик, но все пак възнаграждава инвестицията ви за премахване на смесено съдържание.
Google също наскоро оповестен тази скорост на зареждане на страницата и общата ефективност на уебсайта се вземат предвид (тежко) при вземане на решение за класиране. Това означава, че оптимизациите за ефективност на HTTP / 2 и премахването на смесено съдържание могат да работят заедно, за да подобрят видимостта на уебсайта ви в мрежата.
И накрая, ако искате да се възползвате напълно от SSL в SEO на уебсайта си, може да помислите EV сертификати на SSL.com, които предлагат най-високи гаранции на вашите посетители чрез индикатори за сигурност (като тази зелена лента в браузъра), за да ги защитят и да се ангажират със съдържанието ви - и по-дългите посещения се равняват на по-високо класиране.
Предупреждения за смесено съдържание в браузъра
Посетителите на сайтове, защитени от SSL, очакват (и заслужават) безпроблемна защита. Когато даден сайт не защити напълно цялото съдържание, браузърът ще покаже предупреждение за „смесено съдържание“. Когато вашите клиенти видят това предупреждение, те могат да реагират по един от двата начина. Ако те не вземете сигурността сериозно, те ще я игнорират, щракнат и ще предположат, че всичко ще е наред (много лошо). Ако те do вземете сериозно сигурността, те ще обърнат внимание на нея, излезте от вашия сайт и приемете това Вие не приемайте сигурността сериозно (още по-лошо).
Освен това всички съвременни браузъри ще блокират по-зловредните типове смесено съдържание - и при това може да повредят вашия сайт.
Най-доброто решение, разбира се, е да се уверите, че тези предупреждения и / или блокове няма да се появят на първо място, като правилно конфигурирате вашия сайт да обслужва само защитено съдържание.
Защо виждам това предупреждение?
Предупреждението със смесено съдържание означава, че както защитени, така и незащитени елементи се обслужват на страница, която трябва да бъде напълно криптирана. Всяка страница, използваща HTTPS адрес, трябва да има цялото съдържание, идващо от защитен източник. Всяка страница, която води към HTTP ресурс, се счита за несигурна и е означена от браузъра ви като риск за сигурността.
Предупрежденията за смесено съдържание се разделят на две категории: смесено пасивно съдържание намлява смесено активно съдържание.
Смесено пасивно съдържание
Пасивното съдържание се отнася до елементи, които могат да бъдат заменени или променени, но не могат да променят други части на страницата - например графика или снимка. Вероятно най-честата причина за всички предупреждения за смесено съдържание е, когато (теоретично) защитен сайт е конфигуриран да изтегля изображения от незащитен източник.
Пасивните HTTP заявки се обслужват чрез следните тагове:<audio>(src атрибут)<img> (src атрибут)<video> (src атрибут)<object> подресурси (когато <object> изпълнява HTTP заявки)
Смесено активно съдържание
Активното съдържание може да промени самата уеб страница. Атаката „човек в средата“ може да позволи да бъде прихваната и / или пренаписана заявка за HTTP съдържание на която и да е HTTPS страница. Това прави злонамереното активно съдържание много опасно - потребителските идентификационни данни и чувствителните данни могат да бъдат откраднати или злонамерен софтуер, инсталиран в системата на потребителя. Например, малко JavaScript на страница за създаване на акаунт, предназначена да помогне на потребителите да генерират произволна парола, може да бъде заменена с код, предоставящ произволно изглеждащ, но предварително генериран такъв, или да достави иначе защитена парола тайно на трета страна .
Активно смесено съдържание може да се използва за компрометиране на поверителни лични данни, но дори публичните уеб страници, които изглеждат безвредни, все още могат да пренасочват посетителите към опасни сайтове, да доставят нежелано съдържание или да крадат бисквитки за експлоатация.
<script> (src атрибут)<link> (href атрибут) (това включва CSS таблици със стилове)XMLHttpRequest заявки за обекти<iframe> (src атрибути)Всички случаи в CSS, където се използва стойност на url (
@font-face, cursor, background-imageИ т.н.)<object> (data атрибут)Всички съвременни браузъри ще блокират активно смесено съдържание по подразбиране (което може да повреди неправилно конфигуриран сайт)
Защо и как да коригирате предупреждения за смесено съдържание
Осигуряването на вашия уебсайт позволява на посетителите ви да ви се доверят, което е жизнено важно. Въпреки това, премахването на цялото несигурно съдържание от вашия сайт има още по-голям бонус за премахване на фалшиво положителни предупреждения - ако вашият правилно конфигуриран сайт е компрометиран, всеки несигурен елемент, вмъкнат от нападателя, ще задейства предупреждението за смесено съдържание, което ще ви даде допълнителен трипур за откриване и разгледайте тези проблеми.
Отново, най-добрият начин да се избегнат проблеми със смесено съдържание е да се обслужва цялото съдържание чрез HTTPS вместо HTTP.
За вашия собствен домейн обслужвайте цялото съдържание като HTTPS и коригирайте връзките си. Често HTTPS версията на съдържанието вече съществува и това просто изисква добавяне на „s“ към връзките - http:// да се https://.
За други домейни използвайте HTTPS версията на сайта, ако е налична. Ако HTTPS не е наличен, можете да опитате да се свържете с домейна и да ги попитате дали могат да направят съдържанието достъпно чрез HTTPS.
Като алтернатива, използването на „относителни URL адреси“ позволява на браузъра автоматично да избере HTTP или HTTPS, в зависимост от това кой протокол използва потребителят. Например, вместо да свързвате към изображение, като използвате връзка с „абсолютния път“ на:
Сайтът може да използва относителен път:
Това позволява на браузъра автоматично да добавя и двете http: or https: до началото на URL адреса, ако е необходимо. (Обърнете внимание, че сайтът, към който е свързан, ще трябва да предлага ресурса както по HTTP, така и по HTTPS, за да работят относителните URL адреси.)
Chrome
Firefox
Internet Explorer
Отличните инструменти за проследяване на връзки, които не са SSL във вашия изходен код, са инструментите за разработчици, вградени в Firefox намлява Chrome браузъри. Информация за принуждаването на сървър на Apache да обработва само HTTPS може да бъде намери тук.
Първият проблем с заявката
Надяваме се, че до този момент в тази статия са изложени няколко добри аргументи срещу смесено съдържание, въпреки че дори да решите да преместите изцяло уебсайта си към HTTPS, все още има някои подобрения, които можете да направите.
Когато потребителите въвеждат URL адреса на вашия уебсайт в браузър, обикновено никога не въвеждат напълно името на протокола (т.е. https://). Естествено, браузърът не знае под кой протокол се обслужва уебсайтът ви и по подразбиране е HTTP.
Ако вашият уебсайт е конфигуриран правилно, той ще пренасочи (чрез HTTP 301/302 отговори) браузъра към своя HTTPS инстанция; въпреки че това означава, че браузърите трябва да изпълнят две заявки вместо една заявка HTTPS, когато посетят за първи път вашия уебсайт.
Това може да бъде проблематично, защото потребителите могат да възприемат изоставането, получавайки лошо първо впечатление за сайта. Поради това те ще имат по-малка вероятност да се придържат, което в крайна сметка може да доведе до намален посетителски трафик.
Освен това хакерите могат да прихванат тази първа HTTP заявка, за да я прочетат или променят, преди да стигнат до сървъра. Често срещано явление за този тип случаи е да се извърши мрежова атака, наречена SSL отстраняване което позволява на атакуващия да замени HTTPS връзка с незащитена HTTP.
HTTP Строга транспортна сигурност към спасителните
HTTP стриктна сигурност на транспорта or HSTS е опит за решаване на този проблем. Приложен от Internet Engineering Task Force (IETF) в RFC 6797, HSTS е HTTPS заглавие, което уеб сървърите могат да включват в отговорите си. Това заглавие инструктира съвместимите браузъри винаги да използват HTTPS, когато посещават уебсайт. HSTS се прилага за всички заявки, включително изображения, таблици стилове CSS и всеки друг уеб ресурс.
Както можете да си представите, браузърът трябва първо виж заглавката на HSTS, за да го уважи, което означава, че HSTS разчита на нападателите да не могат да прихванат първата HTTP заявка. В резултат на това HSTS сам по себе си не е цялостно решение, а по-скоро просто решение за премахване на SSL.
Предварително зареждане с HSTS
За щастие проектът Chromium излезе с решение, което те кръстиха Предварително зареждане с HSTS, която се състои в поддържане на публичен списък с уебсайтове, които са поискали функционалност за предварително зареждане на HSTS. Когато посещават уебсайт, браузърите на Chromium ще се консултират със списъка и ако сайтът бъде намерен там, те ще продължат да комуникират с него през HTTPS (включително тази първа заявка), независимо от предишната история или въвеждането на потребителя.
В резултат на това предварителното зареждане може да подобри както ефективността, така и сигурността на уебсайта Ви, като премахне първоначалната HTTP заявка. В допълнение, това може косвено да подобри SERP класирането на вашия сайт и потребителското изживяване.
Всички основни браузъри (Google Chrome, IE / Edge на Microsoft, Safari на Apple, Firefox и Opera на Mozilla) също се консултират със списъка за предварително зареждане на HSTS на Chromium, което означава, че присъединяването към този списък ще осигури предимствата за предварително зареждане на вашите посетители, независимо от браузъра, който използват.
Ние обаче бихме били отхвърлени, ако не споменем, че има опасения относно мащабируемостта на решението за предварително зареждане на HSTS - то не може да включва всички уебсайтове в Интернет поради практическия размер и ограниченията на изчислителната сложност и следователно влизането може да стане все по-трудно с течение на времето и предварителното зареждане на HSTS става все по-широко прието.
Как мога да се присъединя?
Ако се интересувате от присъединяване към списъка за предварително зареждане с HSTS, имайте предвид, че вашият уебсайт трябва да спазва определени правила. Проектът Chromium публикува списъка с изисквания за подаване за уебсайтове, които искат да се присъединят в уебсайта на своя проект. Изискванията са включени дословно в следния списък, но можете да намерите повече подробности в HSTS RFC 6797.
За да бъде приет в списъка за предварително зареждане с HSTS, вашият уебсайт трябва:
- Сервирайте валиден сертификат.
- Пренасочете от HTTP към HTTPS на същия хост, ако слушате на порт 80.
- Обслужвайте всички поддомейни през HTTPS. По-специално, трябва да поддържате HTTPS за
wwwподдомейн, ако съществува DNS запис за този поддомейн. - Сервирайте RFC 6797-съвместим HSTS заглавие в основния домейн за HTTPS заявки:
- -
max-ageтрябва да бъде поне 31536000 секунди (1 година). - -
includeSubDomainsтрябва да се посочи директива. - -
preloadтрябва да се посочи директива.
- -
- Ако обслужвате допълнително пренасочване от вашия HTTPS сайт, това пренасочване трябва Също имат съвместима заглавка HSTS (както и страницата, към която се пренасочва).
Ето пример за валиден HSTS заглавие.
Строга транспортна сигурност: максимална възраст = 63072000; includeSubDomains; натоварването
Можете да тествате уебсайта си за допустимост, като посетите уебсайта на списъка с предварително зареждане и въведете домейна си в полето за въвеждане. Там уеб приложението ще посочи какви проблеми (ако има) трябва да коригирате.
За съжаление, сложността на съвременните уебсайтове не позволява на човек да излезе с конфигурация на един размер за всички сървъри за предварително инсталиране на HSTS, която да се включи в тази статия. Възможно е да има проблеми с времето на изпълнение с трети страни или други персонализирани компоненти, които трябва да бъдат решавани индивидуално.
Въпреки че проектът Chromium включва някои препоръки за внедряване в уебсайта с предварително зареждане, винаги сме щастливи да помогнем на нашите клиенти да подобрят сигурността на комуникациите си. Просто ни пуснете имейл на адрес support@ssl.com и експерт ще се радва да обсъди най-добрия път за вашите нужди за сигурност.
Заключение
HTTPS се превръща в протокол за уеб комуникация по подразбиране и пълното ангажиране с него може да има само положителни ефекти за собствениците и посетителите на сайтове. Препоръчваме да премахнете всяко смесено съдържание от уебсайтовете си, за да избегнете ненужни проблеми (и недоволни потребители).
Както винаги, благодаря за избора SSL.com, където вярваме, че по-безопасен интернет е по-добър Интернет.
