HTTPS všude: Chcete-li vylepšit SEO, odstraňte smíšený obsah

Úvod

V posledních letech jsme viděli web a sortiment odvětví, která jej řídí (tj. Prohlížeče, vyhledávače atd.), A začínají brát bezpečnost uživatelů vážněji. Chrome je nyní varovat uživatele před HTTP servery s více prohlížeči připravenými sledovat, zatímco Vyhledávání Google potvrdilo, že zvyšují hodnocení vyhledávačů HTTPS webové stránky.

Takový vývoj motivoval významnou část majitelů webových stránek k tomu, aby své servery přesunuli ze starých, nezabezpečených HTTP na bezpečnější alternativní HTTPS. (HTTPS je považován za bezpečnější, protože vyžaduje, aby servery byly ověřovány pomocí SSL certifikátů jako prostředek k ochraně uživatelů před většinou typů síťových útoků.)

Většina webových stránek však implementovala protokol HTTPS pouze pro své nejdůležitější součásti, jako jsou přihlašovací požadavky nebo požadavky POST, ale stále může používat protokol HTTP pro jiné „nekritické“ funkce.

To dávalo smysl v prvních dnech HTTPS, protože šifrovaná připojení jsou výpočetně nákladnější kvůli nutnosti provádět potřesení rukou pro každé nové připojení. Navíc v té době mnoho široce používaných platforem pro vývoj webových aplikací, knihoven a prostředí nebylo připraveno na HTTPS - což je skutečnost, která způsobovala administrátorům a vývojářům nekonečné bolesti hlavy v podobě selhání aplikací v pozdní noci nebo nejasných chyb za běhu.

To už samozřejmě není pravda - ve skutečnosti, jak bude tento článek argumentovat, ne pomocí HTTPS pro všechno připojení vašeho webu je ve skutečnosti pro vaši firmu špatné.

 

Smíšený obsah

Nazývají se weby, které neslouží k poskytování veškerého obsahu přes HTTPS smíšený obsah webové stránky. Akademik papír publikováno v roce 2015 zjistilo, že více než 43% jejich vzorku 100,000 XNUMX největších Alexů sloužilo alespoň jednomu typu smíšeného obsahu.

Ačkoli to nezní jako velký problém, smíšený obsah může být pro uživatele docela nebezpečný, ale může mít také negativní dopad na webové stránky.

Bezpečnostní otázky

Nejdůležitějším důvodem použití protokolu HTTPS pro celý web je zabezpečení. Jediné nechráněné připojení HTTP vyžadují všichni hackeři. Útočníci uprostřed (MITM) může nahradit jakýkoli obsah HTTP na vaší stránce, aby ukradl přihlašovací údaje a návštěvy, získal citlivá data nebo spustil zneužití prohlížeče a nainstaloval malware do počítačů vašich návštěvníků.

Pokud bude váš web ohrožen, vaše uživatele budou mít přirozenou nedůvěru a budou se mu v budoucnu vyhýbat, což účinně poškozuje vaši online reputaci.

Firefox i Chrome začali ve výchozím nastavení blokovat smíšený obsah, což umožňuje uživatelům manuálně zvolit načítání obsahu přes HTTP. Vzhledem k tomu, že smíšený obsah však představuje bezpečnostní riziko, oba prohlížeče uživatelům varují před smíšeným obsahem, což může také negativně ovlivnit pověst vašeho webu.

 

Varování o smíšeném obsahu Firefoxu

Problémy s výkonem

Kromě bezpečnosti, stále se zvyšující přijetí HTTP / 2 Toto odvětví přineslo na web četné aktualizace výkonu a zabezpečení.

I když se zdá, že zvýšení výkonu je kontraintuitivní od HTTP / 2 funguje jen přes šifrovaná připojení HTTPS protokol umožňuje prohlížečům používat pro veškerou komunikaci jediné šifrované spojení s webovým serverem HTTPS.

Opětovné použití stejného připojení odstraní režijní náklady opakovaným vytvořením nových (tj. Opětovného podání ruky). To znamená, že přechod ze šifrovaného připojení HTTPS na nezašifrovaný HTTP na webu se smíšeným obsahem je ve skutečnosti pomalejší a náročnější na zdroje než návštěva zcela chráněné stránky pomocí jediného připojení HTTPS.

HTTP / 2 také implementuje 0-RTT režim obnovení relace, který umožňuje prohlížečům obnovit pozastavenou relaci s webem HTTPS, který již navštívili, pomocí pouze jednoho požadavku (namísto úplného podání ruky). Díky tomu je obnovování HTTP / 2 přinejmenším tak rychlé jako nešifrované připojení HTTP, přičemž stále poskytuje všechny výhody HTTPS. Poskytování smíšeného obsahu znamená, že váš web nemůže plně využít této nebo jiné skvělé funkce HTTP / 2.

V obou těchto případech protokol HTTP / 2 zvyšuje rychlost připojení návštěvníka k vašemu webu - a na rychlosti záleží. Studie v průběhu let ukázali, že citlivost a rychlost načítání stránky jsou kritickými požadavky na návrh uživatelského rozhraní. Čím je doba odezvy webu pomalejší, tím menší je pravděpodobnost, že uživatelé zůstanou v kontaktu, a interakce uživatelů má přímý vliv na uživatelské zkušenosti s webem (a v důsledku toho i na míru konverze).

Smíšený obsah může také ovlivnit výkon na úrovni základních webových technologií používaných na vašem webu. Prohlížeče nyní omezit funkce javascriptu jako jsou servisní pracovníci a zasílají oznámení pouze do zabezpečeného kontextu, protože hackeři by je jinak mohli zneužít pro škodlivé účely. To opět znamená, že váš web nemůže při poskytování smíšeného obsahu využívat žádnou z těchto technologií.

Problémy se SEO

Optimalizace pro vyhledávače (SEO) je chléb a máslo online obchodníků. SEO označuje praxi zlepšování hodnocení webových stránek v a stránka výsledků vyhledávání (SERP), což přímo ovlivňuje objem provozu webových stránek.

Google potvrdil, že jejich algoritmus pro hodnocení výsledků vyhledávání dává malou podporu pro webové stránky, které jsou poskytovány přes HTTPS. Vzhledem k tomu, že podpora je v reálném čase a na jednotlivé adresy URL, bude poskytování celé webové stránky přes HTTPS mít za následek podporu SEO pro celý web (místo pouze těch adres URL, které jsou poskytovány přes HTTPS). Je pravda, že toto posílení hodnotícího signálu je ve srovnání s ostatními, jako je kvalitní obsah nebo provoz uživatelů, poměrně lehké, stále odměňuje vaši investici do odstranění smíšeného obsahu.

Google také nedávno oznámila, tato rychlost načítání stránky a obecný výkon webových stránek se při rozhodování o pořadí berou v úvahu (těžká). To znamená, že optimalizace výkonu HTTP / 2 a odstraňování smíšeného obsahu mohou spolupracovat na zvýšení viditelnosti vašeho webu na webu.

A konečně, pokud chcete plně využít výhody SSL v SEO vašeho webu, můžete zvážit Certifikáty EV SSL SSL.com, které nabízejí vašim návštěvníkům nejvyšší záruky prostřednictvím bezpečnostních indikátorů (jako je zelená lišta v prohlížeči), které jim zajišťují bezpečnost a interakci s vaším obsahem - a delší návštěvy se rovnají vyšším hodnocením.

Varování smíšeného obsahu prohlížeče

Návštěvníci stránek chráněných SSL očekávají (a zaslouží si) bezproblémovou ochranu. Pokud web plně nechrání veškerý obsah, zobrazí se v prohlížeči upozornění „smíšený obsah“. Když vaši zákazníci uvidí toto varování, mohou reagovat jedním ze dvou způsobů. Jestliže oni ne brát bezpečnost vážně, budou ji ignorovat, proklikat a předpokládat, že všechno bude v pořádku (velmi špatné). Jestliže oni do brát bezpečnost vážně, budou věnovat pozornost tomu, zpět z vašich stránek a předpokládat, že vy neberte bezpečnost vážně (ještě horší).

Všechny moderní prohlížeče navíc zablokují škodlivější typy smíšeného obsahu - a tím by se váš web mohl poškodit.

Nejlepším řešením je samozřejmě zajistit, aby tato varování a / nebo bloky nenastaly na prvním místě správnou konfigurací vašeho webu tak, aby poskytoval pouze zabezpečený obsah.

Proč vidím toto varování?

Varování se smíšeným obsahem znamená, že zabezpečené i nezajištěné prvky jsou zobrazovány na stránce, která by měla být zcela šifrována. Každá stránka používající adresu HTTPS musí mít veškerý obsah pocházející ze zabezpečeného zdroje. Každá stránka, která odkazuje na zdroj HTTP, je považována za nezabezpečenou a váš prohlížeč ji označí jako bezpečnostní riziko.

Varování s různým obsahem spadají do dvou kategorií: smíšený pasivní obsah a smíšený aktivní obsah.

Smíšený pasivní obsah

Pasivní obsah označuje položky, které lze nahradit nebo změnit, ale nemohou změnit jiné části stránky - například grafiku nebo fotografii. Pravděpodobně nejčastější příčinou veškerého upozornění na smíšený obsah je, když je (teoreticky) zabezpečený web nakonfigurován tak, aby načítal obrázky z nezabezpečeného zdroje.

Pasivní požadavky HTTP jsou obsluhovány prostřednictvím těchto značek:<audio>(src atribut)
<img> (src atribut)
<video> (src atribut)
<object> subresources (když an <object> provádí HTTP požadavky)

Smíšený aktivní obsah

Aktivní obsah může změnit samotnou webovou stránku. Útok typu man-in-the-middle by mohl umožnit zachycení a přepsání požadavku na obsah HTTP na jakékoli stránce HTTPS. Díky tomu je nebezpečný aktivní obsah velmi nebezpečný - mohou být odcizena pověření uživatele a citlivá data nebo může být v systému uživatele nainstalován malware. Například kousek JavaScriptu na stránce pro vytváření účtů, která má uživatelům pomoci vygenerovat náhodné heslo, může být nahrazen kódem, který poskytuje místo toho náhodně vypadající, ale předem vygenerované heslo, nebo tajně doručit jinak zabezpečené heslo třetí straně .

Aktivní smíšený obsah lze využít k ohrožení citlivých soukromých dat, ale i veřejné webové stránky, které se zdají neškodné, mohou stále přesměrovávat návštěvníky na nebezpečné weby, doručovat nechtěný obsah nebo odcizovat cookies za účelem využití.

Aktivní požadavky HTTP jsou obsluhovány prostřednictvím:<script> (src atribut)
<link> (href atribut) (včetně stylů CSS)
XMLHttpRequest objektové požadavky
<iframe> (src atributy)
Všechny případy v CSS, kde se používá hodnota adresy URL (@font-face, cursor, background-imageAtd.).
<object> (data atribut)

Všechny moderní prohlížeče ve výchozím nastavení blokují aktivní smíšený obsah (což může narušit nesprávně nakonfigurovaný web)

Proč a jak opravit varování smíšeného obsahu

Zabezpečení vašeho webu umožňuje návštěvníkům, aby vám důvěřovali, což je životně důležité. Vyloučení veškerého nezabezpečeného obsahu z vašeho webu má však ještě větší bonus k vyloučení falešně pozitivních varování - pokud je váš správně nakonfigurovaný web ohrožen, jakýkoli nezabezpečený prvek, který útočník vloží, spustí varování se smíšeným obsahem, což vám umožní zjistit další tripwire a řešit tyto problémy.

Nejlepší způsob, jak se vyhnout problémům se smíšeným obsahem, je opět podání veškerého obsahu přes HTTPS namísto HTTP.

Ve své vlastní doméně zobrazujte veškerý obsah jako HTTPS a opravte své odkazy. Verze obsahu HTTPS již často existuje, což vyžaduje pouze přidání „s“ do odkazů - http:// na https://.

U ostatních domén použijte verzi HTTPS, pokud je k dispozici. Pokud protokol HTTPS není k dispozici, můžete zkusit kontaktovat doménu a zeptat se jich, zda může obsah zpřístupnit prostřednictvím protokolu HTTPS.

Alternativně použití „relativních adres URL“ umožňuje prohlížeči automaticky zvolit HTTP nebo HTTPS, podle toho, jaký protokol uživatel používá. Například místo odkazu na obrázek pomocí odkazu s „absolutní cestou“:



Web může použít relativní cestu:




To umožňuje prohlížeči automaticky přidat jeden http: or https: na začátek adresy URL podle potřeby. (Všimněte si, že web, na který je odkazováno, bude muset nabídnout zdroj přes HTTP i HTTPS, aby fungovaly relativní URL.)


Další informace o varováních o smíšeném obsahu naleznete v těchto odkazech:
chróm
 Firefox
 Internet Explorer
Vynikající nástroje, které vám pomohou ve vašem zdrojovém kódu sledovat odkazy bez SSL, jsou vývojářské nástroje zabudované do Firefox  a  chróm prohlížeče. Informace o vynucení serveru Apache, aby zpracovával pouze HTTPS, mohou být zde našli.


První problém s požadavkem


Doufáme, že tento článek doposud předložil několik dobrých argumentů proti smíšenému obsahu, přestože i přesto, že se rozhodnete migrovat své webové stránky výhradně na HTTPS, stále můžete provést některá vylepšení.


Když uživatelé zadají adresu URL vašeho webu v prohlížeči, obvykle nikdy zcela nenapíšou název protokolu (tj https://). Prohlížeč samozřejmě neví, pod kterým protokolem se vaše webové stránky doručují, a ve výchozím nastavení HTTP.


Pokud je váš web nakonfigurován správně, přesměruje prohlížeč (prostřednictvím HTTP 301/302 odpovědí) na jeho instanci HTTPS; to však znamená, že prohlížeče musí při první návštěvě vašeho webu provést dvě žádosti namísto jednoho požadavku HTTPS.


To může být problematické, protože uživatelé mohou vnímat zpoždění a získat špatný první dojem z webu. Proto bude méně pravděpodobné, že se budou držet kolem, což může nakonec vést ke snížení návštěvnosti návštěvníků.


Kromě toho mohou hackeři zachytit první HTTP požadavek, aby jej před dosažením serveru přečetl nebo upravil. Běžným výskytem tohoto typu případů je provedení síťového útoku zvaného Odizolování SSL což útočníkovi umožňuje nahradit připojení HTTPS nechráněným připojením HTTP.


HTTP Strict Transport Security pro záchranu


HTTP Strict Transport Security or HSTS je pokus vyřešit tento problém. HSTS, implementovaný pracovní skupinou Internet Engineering Task Force (IETF) v RFC 6797, je záhlaví HTTPS, které mohou webové servery zahrnout do svých odpovědí. Tato záhlaví přikazuje kompatibilním prohlížečům, aby při návštěvě webové stránky vždy používaly protokol HTTPS. HSTS se vztahuje na všechny požadavky včetně obrázků, stylů CSS a jiných webových zdrojů.


Jak si můžete představit, prohlížeč musí nejprve vidět záhlaví HSTS, aby bylo respektováno, což znamená, že HSTS spoléhá na to, že útočníci nebudou schopni zachytit první HTTP požadavek. Výsledkem je, že samotný HSTS není úplným řešením, ale spíše jednoduchým řešením odstraňování SSL.


Předpětí HSTS


Naštěstí projekt Chromium přišel s řešením, které pojmenovali Předpětí HSTS, která spočívá v udržování veřejného seznamu webových stránek, které požadovaly funkci předběžného načítání HSTS. Při návštěvě webu prohlížeče Chromium se seznamem konzultují a pokud je zde nalezen, budou s ním pokračovat v komunikaci přes HTTPS (včetně této první žádosti) bez ohledu na předchozí historii nebo vstup uživatele.


V důsledku toho může předběžné načtení zlepšit výkon i zabezpečení vašeho webu odstraněním původního požadavku HTTP. Kromě toho může nepřímo vylepšit hodnocení vašich stránek a hodnocení uživatelů.


Všechny hlavní prohlížeče (Google Chrome, Microsoft IE / Edge, Apple Safari, Mozilla Firefox a Opera) se také konzultují se seznamem předpětí HSTS Chromium, což znamená, že připojení k tomuto seznamu poskytne návštěvníkům výhody předběžného načtení, ať už používají jakýkoli prohlížeč.


Bylo by nám však líto, kdybychom nezmínili, že existují obavy ohledně škálovatelnosti řešení seznamu předpětí HSTS - Nemůže zahrnovat všechny webové stránky na internetu kvůli praktické velikosti a omezením výpočetní složitosti, a v důsledku toho může být vstup stále obtížnější jak čas plyne a předpětí HSTS se stává obecněji přijímaným.


Jak se mohu připojit?


Pokud se chcete připojit k seznamu předpětí HSTS, mějte na paměti, že váš web musí dodržovat určitá pravidla. Projekt Chromium zveřejnil seznam požadavků na předkládání webových stránek, které se chtějí připojit na webové stránky svého projektu. Požadavky jsou doslovně uvedeny v následujícím seznamu, další podrobnosti však najdete v HSTS RFC 6797.


Aby byl váš web přijat do seznamu předběžného načítání HSTS, musí:


    

  1. Podávejte platný certifikát.
    2. 

  2. Přesměrujte z HTTP na HTTPS na stejném hostiteli, pokud posloucháte na portu 80.
    3. 

  3. Poskytujte všechny subdomény přes HTTPS. Zejména musíte pro HTTPS podporovat www subdoména, pokud pro danou subdoménu existuje záznam DNS.
    4. 

  4. Pro požadavky HTTPS slouží záhlaví HSTS kompatibilní s RFC 6797 v základní doméně:

      

    • Projekt max-age musí být alespoň 31536000 sekund (1 rok).
      • 

    • Projekt includeSubDomains směrnice musí být specifikována.
      • 

    • Projekt preload směrnice musí být specifikována.
      • 

    

    5. 

  5. Pokud poskytujete další přesměrování ze svého webu HTTPS, toto přesměrování musí také mají kompatibilní záhlaví HSTS (stejně jako stránka, na kterou přesměrovává).
    6. 



Zde je příklad platné záhlaví HSTS.


Přísné zabezpečení dopravy: max-age = 63072000; includeSubDomains; předem načíst


Způsobilost svého webu můžete otestovat tak, že navštívíte web předběžného seznamu a zadáte svou doménu do vstupního pole. Ve webové aplikaci bude uvedeno, jaké problémy (pokud existují) je třeba opravit.


Nástroj způsobilosti předběžného načítání HSTS


Složitost moderních webů bohužel neumožňuje přijít s konfigurací serverů univerzální velikosti pro předběžné zavádění HSTS do tohoto článku. Může dojít k problémům s run-time s třetími stranami nebo jinými vlastními komponenty, které je třeba individuálně vyřešit.


Přestože projekt Chromium zahrnoval některá doporučení pro nasazení na webové stránky s předběžným načtením, vždy rádi pomůžeme našim zákazníkům zlepšit jejich zabezpečení komunikace. Stačí nám napsat e-mail na support@ssl.com a odborník vám ráda přediskutuje nejlepší cestu vpřed pro vaše bezpečnostní potřeby.


Proč investovat do čističky vzduchu?


HTTPS se stává výchozím protokolem webové komunikace a plně se k němu zavazuje, může mít pozitivní účinky pouze pro majitele stránek a návštěvníky. Doporučujeme odstranit veškerý smíšený obsah z vašich webových stránek, abyste předešli zbytečným problémům (a nešťastným uživatelům).


Jako vždy, díky za výběr SSL.com, kde věříme, že bezpečnější internet je lepší internet.


Aktualizace (7. října 2019):  3. října 2019 blog Chromium oznámila, že bude Chrome blokování veškerý smíšený obsah, včetně obrázků, zvuku a videa, v řadě kroků počínaje Chrome 79 (prosinec 2019) a pokračujících přes Chrome 81 počátkem roku 2020. Tento krok společnosti Google znamená, že je důležitější než kdy jindy vyloučit smíšený obsah z tvoje webová stránka.





SSL.com EV Podepisování kódu certifikáty pomáhají chránit váš kód před neoprávněnou manipulací a kompromitací s nejvyšší úrovní ověření a jsou k dispozici za pouhých $ 249 za rok. Můžete také používejte certifikát EV Code Signing ve velkém měřítku v cloudu pomocí eSigner. Díky své automatizované možnosti je eSigner vhodný pro podepisování podnikového kódu.


 OBJEDNAT TEĎ



		

				

				

				

					

			
			

									

						

							Nick Naziridis						

					

				
									

						Administrátor CA - technický autor					

				
									
						Všechny příspěvky					
							

		

				

				

					

		

				

			

								

				

			
Související články
		

				

				

				

					

				
				
				
				
				
				

		
				

				

				

				

					

			
						
						
							
						Zobrazit všechny články
		
					
		

				

				

				

				

					

							
					
						facebook
											
				
							
					
						Youtube
											
				
							
					
						X
											
				
							
					
						GitHub
											
				
					

				

				

				

				

			
Přihlaste se k odběru zpravodaje SSL.com
		

				

				

				

					

			
			
			

							
			
			

								

												
														
											

								

					
				

			

		

				

				

				

				

			
Co je SSL /TLS?
		

				

				

				

					

							

																											

														Přehrát video
						

									

					

				

				

					

		

							

		

				

						

					

			

								

				

			
Přihlaste se k odběru zpravodaje SSL.com

		

				

				

				

					

			
			
			

							
			
			

								

												
														
											

								

					
				

			

		

				

				

				

				

							Nenechte si ujít nové články a aktualizace z SSL.com						

				

					

		

							

		

						

		
	







	    
    
    
 
 


 

    
    



					
				 
    
    
  
  
  
  
		

								

						

					

			

					

								

				

																														

				

				

				

			
Zůstaňte informováni a zabezpečte se
		

				

				

				

							


SSL.com je světovým lídrem v oblasti kybernetické bezpečnosti, PKI a digitální certifikáty. Přihlaste se k odběru nejnovějších zpráv z oboru, tipů a oznámení o produktech SSL.com.


						

				

				

				

					

			
			
			

							
			
			

								

												
														
											

								

					
				

			

		

				

				

					

		

							

		

						

				

								

						

					

			

								

				

					

			
						
		

				

				

				

						

					

			

								

				

																														

				

				

				

							
Budeme rádi za vaši zpětnou vazbu


Vyplňte náš průzkum a sdělte nám svůj názor na váš nedávný nákup.
						

				

				

				

					

			
						
						Zúčastněte se průzkumu