Εισαγωγή
Τα τελευταία χρόνια έχουμε δει τον Ιστό και την ποικιλία βιομηχανιών που τον οδηγούν (π.χ. προγράμματα περιήγησης, μηχανές αναζήτησης κ.λπ.) να αρχίζουν να λαμβάνουν πιο σοβαρά την ασφάλεια των χρηστών. Το Chrome είναι τώρα προειδοποίηση των χρηστών κατά ιστότοπων HTTP με περισσότερα προγράμματα περιήγησης έτοιμα να ακολουθήσουν, ενώ η Αναζήτηση Google επιβεβαίωσε ότι δίνουν ώθηση στην κατάταξη της μηχανής αναζήτησης HTTPS ιστοσελίδες.
Εξελίξεις όπως αυτές έχουν παρακινήσει ένα σημαντικό μέρος των κατόχων ιστότοπων να απομακρύνουν τους διακομιστές τους από το παλιό, μη ασφαλές HTTP στα πιο ασφαλή εναλλακτικά HTTPS. (Το HTTPS θεωρείται πιο ασφαλές επειδή απαιτεί έλεγχο ταυτότητας διακομιστών μέσω πιστοποιητικών SSL ως μέσο προστασίας των χρηστών από τους περισσότερους τύπους επιθέσεων δικτύου.)
Ωστόσο, η πλειονότητα των ιστότοπων έχει εφαρμόσει μόνο HTTPS για τα πιο κρίσιμα στοιχεία τους, όπως αιτήματα σύνδεσης ή POST, αλλά ενδέχεται να εξακολουθεί να χρησιμοποιεί HTTP για άλλες "μη κρίσιμες" λειτουργίες.
Αυτό είχε νόημα στις πρώτες μέρες του HTTPS, δεδομένου ότι οι κρυπτογραφημένες συνδέσεις είναι πιο υπολογιστικά ακριβές λόγω της ανάγκης εκτέλεσης χειραψίες για κάθε νέα σύνδεση. Επιπλέον, εκείνη την εποχή πολλές πλατφόρμες, βιβλιοθήκες και περιβάλλοντα ανάπτυξης ευρέως χρησιμοποιούμενων ιστοσελίδων δεν ήταν έτοιμες για HTTPS - γεγονός που προκάλεσε στους διαχειριστές και τους προγραμματιστές ατελείωτο πονοκέφαλο με τη μορφή διακοπών εφαρμογών αργά τη νύχτα ή σκοτεινά σφάλματα χρόνου εκτέλεσης.
Φυσικά, αυτό δεν ισχύει πλέον - στην πραγματικότητα, καθώς αυτό το άρθρο θα υποστηρίξει, δεν χρησιμοποιώντας HTTPS για όλοι οι συνδέσεις του ιστότοπού σας είναι πραγματικά κακές για την επιχείρησή σας.
Μικτό περιεχόμενο
Οι ιστότοποι που δεν εξυπηρετούν όλο το περιεχόμενό τους μέσω HTTPS καλούνται μεικτό περιεχόμενο ιστοσελίδες. Ένας ακαδημαϊκός χαρτί δημοσίευσε το 2015 διαπίστωσε ότι πάνω από το 43% των δειγμάτων των κορυφαίων 100,000 της Alexa εξυπηρετούσαν τουλάχιστον έναν τύπο μικτού περιεχομένου.
Αν και αυτό δεν ακούγεται μεγάλη υπόθεση, το μικτό περιεχόμενο μπορεί να είναι αρκετά επικίνδυνο για τους χρήστες, αλλά μπορεί επίσης να έχει αρνητικές επιπτώσεις και σε ιστότοπους.
Τα θέματα ασφάλειας
Ο πιο σημαντικός λόγος για τη χρήση HTTPS για ολόκληρο τον ιστότοπό σας είναι η ασφάλεια. Μια μόνο μη προστατευμένη σύνδεση HTTP απαιτείται από όλους τους χάκερ. Οι επιτιθέμενοι Man-in-the-middle (MITM) μπορεί να αντικαταστήσει οποιοδήποτε περιεχόμενο HTTP στη σελίδα σας για να κλέψει διαπιστευτήρια και περιόδους σύνδεσης, να αποκτήσει ευαίσθητα δεδομένα ή να ξεκινήσει εκμεταλλεύσεις προγράμματος περιήγησης και να εγκαταστήσει κακόβουλο λογισμικό στους υπολογιστές των επισκεπτών σας.
Η παραβίαση του ιστότοπού σας θα κάνει φυσικά τους χρήστες σας να μην εμπιστεύονται και να το αποφεύγουν στο μέλλον, βλάπτοντας αποτελεσματικά τη διαδικτυακή σας φήμη.
Τόσο ο Firefox όσο και το Chrome έχει αρχίσει για να αποκλείσετε το μικτό περιεχόμενο από προεπιλογή, επιτρέποντας στους χρήστες να επιλέγουν με μη αυτόματο τρόπο τη φόρτωση περιεχομένου μέσω HTTP. Ωστόσο, δεδομένου ότι το μεικτό περιεχόμενο αποτελεί κίνδυνο για την ασφάλεια, και τα δύο προγράμματα περιήγησης εμφανίζουν μια μικτή προειδοποίηση περιεχομένου στους χρήστες, η οποία μπορεί επίσης να επηρεάσει αρνητικά τη φήμη του ιστότοπού σας.
Ζητήματα επιδόσεων
Εκτός από την ασφάλεια, η ολοένα αυξανόμενη υιοθέτηση του HTTP / 2 από τη βιομηχανία έχει φέρει πολλές αναβαθμίσεις απόδοσης και ασφάλειας στον Ιστό.
Αν και η αύξηση της απόδοσης φαίνεται αντίθετη από το HTTP / 2 λειτουργεί μόνο Πάνω από κρυπτογραφημένες συνδέσεις HTTPS, το πρωτόκολλο επιτρέπει στα προγράμματα περιήγησης να χρησιμοποιούν μια κρυπτογραφημένη σύνδεση με έναν διακομιστή ιστού HTTPS για όλες τις επικοινωνίες τους.
Η επαναχρησιμοποίηση της ίδιας σύνδεσης καταργεί την επιβάρυνση που επιβάλλεται με την επανειλημμένη δημιουργία νέων (δηλαδή αυτή τη χειραψία ξανά). Αυτό σημαίνει ότι η μετάβαση από κρυπτογραφημένες συνδέσεις HTTPS σε μη κρυπτογραφημένο HTTP σε έναν ιστότοπο με μικτό περιεχόμενο είναι στην πραγματικότητα πιο αργή και απαιτούμενη από πόρους από την επίσκεψη σε έναν πλήρως προστατευμένο ιστότοπο χρησιμοποιώντας μία μόνο σύνδεση HTTPS.
Το HTTP / 2 εφαρμόζει επίσης το 0-RTT λειτουργία επαναφοράς περιόδου λειτουργίας, επιτρέποντας στα προγράμματα περιήγησης να συνεχίσουν μια περίοδο λειτουργίας σε παύση με έναν ιστότοπο HTTPS που έχουν επισκεφτεί στο παρελθόν, χρησιμοποιώντας μόνο ένα αίτημα (αντί για μια πλήρη χειραψία). Αυτό κάνει την επανάληψη HTTP / 2 τουλάχιστον τόσο γρήγορη όσο μια μη κρυπτογραφημένη σύνδεση HTTP, παρέχοντας παράλληλα όλα τα πλεονεκτήματα του HTTPS. Η εξυπηρέτηση μικτού περιεχομένου σημαίνει ότι ο ιστότοπός σας δεν μπορεί να εκμεταλλευτεί πλήρως αυτό ή οποιαδήποτε από τις άλλες εξαιρετικές δυνατότητες του HTTP / 2.
Και στις δύο αυτές περιπτώσεις, το HTTP / 2 βελτιώνει την ταχύτητα σύνδεσης του επισκέπτη σας στον ιστότοπό σας - και η ταχύτητα έχει σημασία. Έρευνες έχουν δείξει με την πάροδο των ετών ότι η απόκριση και η ταχύτητα φόρτωσης σελίδας είναι κρίσιμες απαιτήσεις σχεδιασμού διεπαφής χρήστη. Όσο πιο αργός είναι ο χρόνος απόκρισης ενός ιστότοπου, τόσο λιγότερο πιθανό είναι να παραμείνουν αφοσιωμένοι οι χρήστες και η αφοσίωση των χρηστών επηρεάζει άμεσα την εμπειρία χρήστη του ιστότοπού σας (και κατά συνέπεια τα ποσοστά μετατροπής σας).
Το μικτό περιεχόμενο μπορεί επίσης να επηρεάσει την απόδοση στο επίπεδο των υποκείμενων τεχνολογιών ιστού που χρησιμοποιούνται στον ιστότοπό σας. Τα προγράμματα περιήγησης τώρα περιορισμός λειτουργιών javascript όπως οι υπάλληλοι της υπηρεσίας και οι ειδοποιήσεις push για ασφαλή περιβάλλοντα μόνο, επειδή διαφορετικά θα μπορούσαν να καταχραστούν από τους χάκερ για κακόβουλους σκοπούς. Αυτό σημαίνει πάλι ότι ο ιστότοπός σας δεν μπορεί να εκμεταλλευτεί καμία από αυτές τις τεχνολογίες κατά την εξυπηρέτηση μικτού περιεχομένου.
Θέματα SEO
Η βελτιστοποίηση μηχανών αναζήτησης (SEO) είναι το ψωμί και το βούτυρο των διαδικτυακών εμπόρων επιχειρήσεων. Το SEO αναφέρεται στην πρακτική της βελτίωσης της κατάταξης ενός ιστότοπου σε ένα σελίδα αποτελεσμάτων μηχανών αναζήτησης (SERP), το οποίο επηρεάζει άμεσα τον όγκο της κίνησης του ιστότοπου.
Η Google επιβεβαίωσε ότι ο αλγόριθμος κατάταξης αποτελεσμάτων αναζήτησης δίνει μια μικρή ώθηση κατάταξης σε ιστότοπους που προβάλλονται μέσω HTTPS. Δεδομένου ότι η ώθηση είναι σε πραγματικό χρόνο και ανά διεύθυνση URL, η προβολή ενός ιστότοπου στο σύνολό του μέσω HTTPS θα έχει ως αποτέλεσμα μια ώθηση SEO για ολόκληρο τον ιστότοπο (αντί μόνο για τις διευθύνσεις URL που προβάλλονται μέσω HTTPS). Βεβαίως, αυτή η ενίσχυση σήματος κατάταξης είναι αρκετά ελαφριά σε σύγκριση με άλλους όπως ποιοτικό περιεχόμενο ή επισκεψιμότητα χρηστών, εξακολουθεί να επιβραβεύει την επένδυσή σας για την κατάργηση μικτού περιεχομένου.
Η Google έχει επίσης πρόσφατα ανακοίνωσε ότι η ταχύτητα φόρτωσης σελίδας και η γενική απόδοση του ιστότοπου λαμβάνονται υπόψη (βαριά) κατά την απόφαση κατάταξης. Αυτό σημαίνει ότι οι βελτιστοποιήσεις απόδοσης HTTP / 2 και η κατάργηση μικτού περιεχομένου μπορούν να συνεργαστούν για να ενισχύσουν την προβολή του ιστότοπού σας στον ιστό.
Τέλος, εάν θέλετε να εκμεταλλευτείτε πλήρως το SSL στο SEO του ιστότοπού σας, μπορείτε να σκεφτείτε Πιστοποιητικά EV του SSL.com, οι οποίες προσφέρουν τις υψηλότερες εγγυήσεις στους επισκέπτες σας μέσω δεικτών ασφαλείας (όπως αυτή η πράσινη γραμμή στο πρόγραμμα περιήγησης) για να τους διατηρήσουν ασφαλείς και αφοσιωμένους στο περιεχόμενό σας - και οι μεγαλύτερες επισκέψεις ισοδυναμούν με υψηλότερες βαθμολογίες.
Προειδοποιήσεις μικτού περιεχομένου προγράμματος περιήγησης
Οι επισκέπτες σε ιστότοπους που προστατεύονται από SSL αναμένουν (και αξίζουν) απρόσκοπτη προστασία. Όταν ένας ιστότοπος δεν προστατεύει πλήρως όλο το περιεχόμενο, ένα πρόγραμμα περιήγησης θα εμφανίζει μια προειδοποίηση «μικτού περιεχομένου» Όταν οι πελάτες σας βλέπουν αυτήν την προειδοποίηση, μπορούν να αντιδράσουν με έναν από τους δύο τρόπους. Αν αυτοί δεν λαμβάνουν σοβαρά υπόψη την ασφάλεια, θα την αγνοήσουν, θα κάνουν κλικ και θα υποθέσουν ότι όλα θα είναι εντάξει (πολύ κακό). Αν αυτοί do θα λάβουν σοβαρά υπόψη την ασφάλεια, θα προσέχουν, πίσω από τον ιστότοπό σας και θα το υποθέσουν εσείς μην παίρνετε στα σοβαρά την ασφάλεια (ακόμα χειρότερα).
Επιπλέον, όλα τα σύγχρονα προγράμματα περιήγησης θα αποκλείσουν τους πιο κακόβουλους τύπους μικτού περιεχομένου - και με αυτόν τον τρόπο ενδέχεται να σπάσει τον ιστότοπό σας.
Η καλύτερη λύση, φυσικά, είναι να βεβαιωθείτε ότι αυτές οι προειδοποιήσεις ή / και οι αποκλεισμοί δεν θα πραγματοποιηθούν πρώτα, ρυθμίζοντας σωστά τον ιστότοπό σας ώστε να προβάλλει μόνο ασφαλές περιεχόμενο.
Γιατί βλέπω αυτήν την προειδοποίηση;
Μια προειδοποίηση μικτού περιεχομένου σημαίνει ότι τόσο ασφαλή όσο και μη ασφαλή στοιχεία προβάλλονται σε μια σελίδα που θα πρέπει να είναι πλήρως κρυπτογραφημένη. Κάθε σελίδα που χρησιμοποιεί μια διεύθυνση HTTPS πρέπει να έχει όλο το περιεχόμενο που προέρχεται από μια ασφαλή πηγή. Κάθε σελίδα που συνδέεται με έναν πόρο HTTP θεωρείται ανασφαλής και επισημαίνεται από το πρόγραμμα περιήγησής σας ως κίνδυνο ασφαλείας.
Οι προειδοποιήσεις μικτού περιεχομένου εμπίπτουν σε δύο κατηγορίες: μικτό παθητικό περιεχόμενο και μικτό ενεργό περιεχόμενο.
Μικτό παθητικό περιεχόμενο
Το παθητικό περιεχόμενο αναφέρεται σε αντικείμενα που μπορούν να αντικατασταθούν ή να τροποποιηθούν αλλά δεν μπορούν να αλλάξουν άλλα μέρη της σελίδας - για παράδειγμα, ένα γραφικό ή μια φωτογραφία. Πιθανώς η πιο κοινή αιτία όλων των προειδοποιήσεων μικτού περιεχομένου είναι όταν ένας (θεωρητικά) ασφαλής ιστότοπος έχει ρυθμιστεί ώστε να τραβά εικόνες από μια μη ασφαλή πηγή.
Τα παθητικά αιτήματα HTTP προβάλλονται μέσω αυτών των ετικετών:<audio>(src Χαρακτηριστικό)<img> (src Χαρακτηριστικό)<video> (src Χαρακτηριστικό)<object> δευτερεύοντες πόροι (όταν <object> εκτελεί αιτήματα HTTP)
Μικτό ενεργό περιεχόμενο
Το ενεργό περιεχόμενο μπορεί να αλλάξει την ίδια την ιστοσελίδα. Μια επίθεση man-in-the-middle θα μπορούσε να επιτρέψει την υποκλοπή ή / και την επανεγγραφή ενός αιτήματος για περιεχόμενο HTTP σε οποιαδήποτε σελίδα HTTPS. Αυτό καθιστά το κακόβουλο ενεργό περιεχόμενο πολύ επικίνδυνο - μπορεί να κλαπεί διαπιστευτήρια χρήστη και ευαίσθητα δεδομένα ή να εγκατασταθεί κακόβουλο λογισμικό στο σύστημα του χρήστη. Για παράδειγμα, ένα κομμάτι JavaScript σε μια σελίδα δημιουργίας λογαριασμού που έχει σχεδιαστεί για να βοηθά τους χρήστες να δημιουργούν έναν τυχαίο κωδικό πρόσβασης θα μπορούσε να αντικατασταθεί από έναν κωδικό που παρέχει έναν τυχαίο αλλά προ-δημιουργημένο αντ 'αυτού ή να παραδώσει έναν άλλον ασφαλή κωδικό πρόσβασης κρυφά σε τρίτο μέρος .
Το ενεργό μεικτό περιεχόμενο μπορεί να αξιοποιηθεί για να θέσει σε κίνδυνο ευαίσθητα ιδιωτικά δεδομένα, αλλά ακόμη και ιστοσελίδες που βλέπουν στο κοινό και φαίνονται αβλαβείς μπορούν ακόμα να ανακατευθύνουν τους επισκέπτες σε επικίνδυνους ιστότοπους, να παραδώσουν ανεπιθύμητο περιεχόμενο ή να κλέψουν cookie για εκμετάλλευση.
<script> (src Χαρακτηριστικό)<link> (href χαρακτηριστικό) (αυτό περιλαμβάνει φύλλα στυλ CSS)XMLHttpRequest αιτήματα αντικειμένου<iframe> (src γνωρίσματα)Όλες οι περιπτώσεις σε CSS όπου χρησιμοποιείται μια τιμή url (
@font-face, cursor, background-imageΚ.λπ.).<object> (data Χαρακτηριστικό)Όλα τα σύγχρονα προγράμματα περιήγησης θα αποκλείσουν το ενεργό μεικτό περιεχόμενο από προεπιλογή (κάτι που ενδέχεται να καταστρέψει έναν ιστότοπο με εσφαλμένη διαμόρφωση)
Γιατί και πώς να διορθώσετε τις προειδοποιήσεις μικτού περιεχομένου
Η ασφάλεια του ιστότοπού σας επιτρέπει στους επισκέπτες σας να σας εμπιστεύονται, κάτι που είναι ζωτικής σημασίας. Ωστόσο, η εξάλειψη όλου του μη ασφαλούς περιεχομένου από τον ιστότοπό σας έχει ακόμη μεγαλύτερο πλεονέκτημα για την εξάλειψη ψευδών θετικών προειδοποιήσεων - εάν ο σωστός διαμορφωμένος ιστότοπός σας έχει παραβιαστεί, οποιοδήποτε ανασφαλές στοιχείο που εισάγει ένας εισβολέας θα ενεργοποιήσει την προειδοποίηση μικτού περιεχομένου, δίνοντάς σας ένα επιπλέον tripwire για ανίχνευση και να αντιμετωπίσουμε αυτά τα ζητήματα.
Και πάλι, ο καλύτερος τρόπος για να αποφύγετε προβλήματα μικτού περιεχομένου είναι να εξυπηρετείτε όλο το περιεχόμενο μέσω HTTPS αντί για HTTP.
Για τον δικό σας τομέα, προβάλλετε όλο το περιεχόμενο ως HTTPS και διορθώστε τους συνδέσμους σας. Συχνά, η έκδοση HTTPS του περιεχομένου υπάρχει ήδη και αυτό απαιτεί απλώς την προσθήκη "s" στους συνδέσμους - http:// προς την https://.
Για άλλους τομείς, χρησιμοποιήστε την έκδοση HTTPS του ιστότοπου, εάν είναι διαθέσιμη. Εάν το HTTPS δεν είναι διαθέσιμο, μπορείτε να δοκιμάσετε να επικοινωνήσετε με τον τομέα και να τους ρωτήσετε εάν μπορούν να κάνουν το περιεχόμενο διαθέσιμο μέσω HTTPS.
Εναλλακτικά, η χρήση "σχετικών διευθύνσεων URL" επιτρέπει στο πρόγραμμα περιήγησης να επιλέγει αυτόματα HTTP ή HTTPS, ανάλογα με το πρωτόκολλο που χρησιμοποιεί ο χρήστης. Για παράδειγμα, αντί να συνδεθείτε σε μια εικόνα χρησιμοποιώντας έναν σύνδεσμο με την "απόλυτη διαδρομή" του:
Ο ιστότοπος μπορεί να χρησιμοποιήσει μια σχετική διαδρομή:
Αυτό επιτρέπει στο πρόγραμμα περιήγησης να προσθέτει αυτόματα είτε http: or https: στην αρχή της διεύθυνσης URL, όπως απαιτείται. (Λάβετε υπόψη ότι ο ιστότοπος που είναι συνδεδεμένος θα πρέπει να προσφέρει τον πόρο τόσο μέσω HTTP όσο και HTTPS για να λειτουργούν οι σχετικές διευθύνσεις URL.)
Chrome
Firefox
Internet Explorer
Εξαιρετικά εργαλεία για την ανίχνευση συνδέσμων χωρίς SSL στον πηγαίο κώδικα είναι τα εργαλεία προγραμματιστών που είναι ενσωματωμένα στο Firefox και Chrome προγράμματα περιήγησης. Μπορούν να υπάρχουν πληροφορίες σχετικά με το να υποχρεώσετε έναν διακομιστή Apache να χειρίζεται μόνο HTTPS βρείτε εδώ.
Το πρώτο πρόβλημα αιτήματος
Ελπίζουμε ότι μέχρι αυτό το σημείο, αυτό το άρθρο έχει θέσει μερικά καλά επιχειρήματα κατά του μικτού περιεχομένου, παρόλο που ακόμα κι αν αποφασίσετε να μετεγκαταστήσετε πλήρως τον ιστότοπό σας σε HTTPS, εξακολουθούν να υπάρχουν ορισμένες βελτιώσεις που μπορείτε να κάνετε.
Όταν οι χρήστες πληκτρολογούν τη διεύθυνση URL του ιστότοπού σας σε ένα πρόγραμμα περιήγησης, συνήθως δεν πληκτρολογούν ποτέ πλήρως το όνομα του πρωτοκόλλου (π.χ. https://). Φυσικά, το πρόγραμμα περιήγησης δεν γνωρίζει σε ποιο πρωτόκολλο προβάλλεται ο ιστότοπός σας και από προεπιλογή στο HTTP.
Εάν ο ιστότοπός σας έχει ρυθμιστεί σωστά, θα ανακατευθύνει (μέσω απαντήσεων HTTP 301/302) το πρόγραμμα περιήγησης στην παρουσία HTTPS. αν και αυτό σημαίνει ότι τα προγράμματα περιήγησης πρέπει να εκτελούν δύο αιτήματα αντί ενός αιτήματος HTTPS όταν επισκέπτονται για πρώτη φορά τον ιστότοπό σας.
Αυτό μπορεί να είναι προβληματικό επειδή οι χρήστες μπορούν να αντιληφθούν την καθυστέρηση, παίρνοντας μια κακή πρώτη εντύπωση του ιστότοπου. Ως εκ τούτου, θα είναι λιγότερο πιθανό να παραμείνουν γύρω, κάτι που τελικά μπορεί να οδηγήσει σε μειωμένη κίνηση επισκεπτών.
Επιπλέον, οι χάκερ μπορούν να παρακολουθήσουν αυτό το πρώτο αίτημα HTTP για να το διαβάσουν ή να το τροποποιήσουν πριν φτάσουν στον διακομιστή. Ένα συνηθισμένο περιστατικό για αυτόν τον τύπο περιπτώσεων είναι η εκτέλεση μιας επίθεσης δικτύου που ονομάζεται Απογύμνωση SSL που επιτρέπει στον εισβολέα να αντικαταστήσει μια σύνδεση HTTPS με μια μη προστατευμένη HTTP.
Αυστηρή ασφάλεια μεταφοράς HTTP για τη διάσωση
HTTP Strict Ασφάλεια Μεταφορών or HSTS είναι μια προσπάθεια επίλυσης αυτού του προβλήματος. Εφαρμόζεται από την Ομάδα Μηχανικής Διαδικτύου (IETF) στο RFC 6797, το HSTS είναι μια κεφαλίδα HTTPS που οι διακομιστές ιστού μπορούν να συμπεριλάβουν στις απαντήσεις τους. Αυτή η κεφαλίδα δίνει εντολή στα συμβατά προγράμματα περιήγησης να χρησιμοποιούν πάντα HTTPS όταν επισκέπτονται έναν ιστότοπο. Το HSTS ισχύει για όλα τα αιτήματα, συμπεριλαμβανομένων εικόνων, φύλλων στυλ CSS και οποιουδήποτε άλλου πόρου ιστού.
Όπως μπορείτε να φανταστείτε, το πρόγραμμα περιήγησης πρέπει πρώτα δείτε η κεφαλίδα HSTS για να την τιμήσει, πράγμα που σημαίνει ότι το HSTS βασίζεται στους επιτιθέμενους που δεν είναι σε θέση να παρακολουθούν αυτό το πρώτο αίτημα HTTP. Ως αποτέλεσμα, το HSTS από μόνο του δεν είναι μια ολοκληρωμένη λύση αλλά μάλλον μια απλή λύση για την απογύμνωση SSL.
Προφόρτιση HSTS
Ευτυχώς, το έργο Chromium έχει βρει μια λύση που ονόμασαν Προφόρτιση HSTS, η οποία συνίσταται στη διατήρηση μιας δημόσιας λίστας ιστότοπων που έχουν ζητήσει τη λειτουργία προ-φόρτωσης του HSTS. Όταν επισκέπτεστε έναν ιστότοπο, τα προγράμματα περιήγησης Chromium θα συμβουλευτούν τη λίστα και αν βρεθεί ο ιστότοπος εκεί, θα συνεχίσουν να επικοινωνούν μαζί του μέσω HTTPS (συμπεριλαμβανομένου αυτού του πρώτου αιτήματος) ανεξάρτητα από το προηγούμενο ιστορικό ή την είσοδο του χρήστη.
Κατά συνέπεια, η προφόρτιση μπορεί να βελτιώσει τόσο την απόδοση όσο και την ασφάλεια του ιστότοπού σας, καταργώντας το αρχικό αίτημα HTTP. Επιπλέον, μπορεί έμμεσα να βελτιώσει την κατάταξη SERP και την εμπειρία χρήστη του ιστότοπού σας.
Όλα τα μεγάλα προγράμματα περιήγησης (Google Chrome, IE / Edge της Microsoft, Safari της Apple, Mozilla's Firefox και Opera) συμβουλεύονται επίσης με τη λίστα προφόρτωσης HSTS του Chromium, πράγμα που σημαίνει ότι η συμμετοχή σε αυτήν τη λίστα θα παρέχει τα προνόμια προφόρτωσης στους επισκέπτες σας, όποιο πρόγραμμα περιήγησης χρησιμοποιούν.
Ωστόσο, θα παραλείψαμε εάν δεν αναφέραμε ότι υπάρχουν ανησυχίες σχετικά με την επεκτασιμότητα της λύσης λίστας προφόρτισης HSTS - Δεν μπορεί να συμπεριλάβει όλους τους ιστότοπους στο Διαδίκτυο λόγω πρακτικών περιορισμών στο μέγεθος και υπολογιστική πολυπλοκότητα, και κατά συνέπεια η είσοδος μπορεί να γίνει όλο και πιο δύσκολη καθώς περνά ο χρόνος και η προφόρτιση HSTS υιοθετείται ευρύτερα.
Πώς μπορώ να εγγραφώ;
Εάν ενδιαφέρεστε να εγγραφείτε στη λίστα προφόρτωσης HSTS, λάβετε υπόψη ότι ο ιστότοπός σας πρέπει να ακολουθεί ορισμένους κανόνες. Το έργο Chromium δημοσίευσε τη λίστα των απαιτήσεων υποβολής για ιστότοπους που θέλουν να συμμετάσχουν στον ιστότοπο του έργου τους. Οι απαιτήσεις περιλαμβάνονται κατά λέξη στην ακόλουθη λίστα, ωστόσο μπορείτε να βρείτε περισσότερες λεπτομέρειες στο HSTS RFC 6797.
Για να γίνει αποδεκτή στη λίστα προφόρτωσης HSTS, ο ιστότοπός σας πρέπει:
- Παρουσιάστε ένα έγκυρο πιστοποιητικό.
- Ανακατεύθυνση από HTTP σε HTTPS στον ίδιο κεντρικό υπολογιστή, εάν ακούτε στη θύρα 80.
- Προβάλετε όλους τους υποτομείς μέσω HTTPS. Συγκεκριμένα, πρέπει να υποστηρίξετε το HTTPS για το
wwwυποτομέας εάν υπάρχει εγγραφή DNS για αυτόν τον υποτομέα. - Προβάλετε μια κεφαλίδα HSTS συμβατή με RFC 6797 στον βασικό τομέα για αιτήματα HTTPS:
- Η
max-ageπρέπει να είναι τουλάχιστον 31536000 δευτερόλεπτα (1 έτος). - Η
includeSubDomainsπρέπει να προσδιοριστεί η οδηγία. - Η
preloadπρέπει να προσδιοριστεί η οδηγία.
- Η
- Εάν προβάλλετε μια επιπλέον ανακατεύθυνση από τον ιστότοπό σας HTTPS, αυτή η ανακατεύθυνση πρέπει Επίσης έχετε μια συμβατή κεφαλίδα HSTS (όπως και η σελίδα στην οποία ανακατευθύνει).
Ακολουθεί ένα παράδειγμα μιας έγκυρης κεφαλίδας HSTS.
Αυστηρή μεταφορά-ασφάλεια: max-age = 63072000; includeSubDomains; προφόρτιση
Μπορείτε να δοκιμάσετε την καταλληλότητα του ιστότοπού σας μεταβαίνοντας στον ιστότοπο της λίστας προφόρτωσης και εισάγοντας τον τομέα σας στο πλαίσιο εισαγωγής. Η εφαρμογή Ιστού εκεί θα επισημάνει ποια προβλήματα (εάν υπάρχουν) πρέπει να διορθώσετε.
Δυστυχώς, η πολυπλοκότητα των σύγχρονων ιστότοπων δεν επιτρέπει σε κάποιον να καταλήξει σε μια διαμόρφωση διακομιστή ενός μεγέθους για όλες τις προφορτώσεις HSTS που θα συμπεριληφθεί σε αυτό το άρθρο. Μπορεί να υπάρχουν προβλήματα χρόνου εκτέλεσης με τρίτα μέρη ή άλλα προσαρμοσμένα στοιχεία που πρέπει να επιλυθούν μεμονωμένα.
Παρόλο που το έργο Chromium έχει συμπεριλάβει ορισμένες προτάσεις ανάπτυξης στον ιστότοπο προφόρτωσης, είμαστε πάντα ευτυχείς να βοηθήσουμε τους πελάτες μας να βελτιώσουν την ασφάλεια των επικοινωνιών τους. Απλώς στείλτε μας ένα e-mail στο support@ssl.com και ένας ειδικός θα χαρεί να συζητήσει την καλύτερη πορεία προς τα εμπρός για τις ανάγκες ασφαλείας σας.
Συμπέρασμα
Το HTTPS γίνεται το προεπιλεγμένο πρωτόκολλο επικοινωνιών Ιστού και η απόλυτη δέσμευσή του μπορεί να έχει μόνο θετικά αποτελέσματα για τους ιδιοκτήτες και τους επισκέπτες ιστότοπων. Σας συνιστούμε να αφαιρέσετε τυχόν μικτό περιεχόμενο από τους ιστότοπούς σας για να αποφύγετε περιττά προβλήματα (και δυστυχισμένους χρήστες)
Όπως πάντα, ευχαριστώ που επιλέξατε SSL.com, όπου πιστεύουμε ότι ένα ασφαλέστερο Διαδίκτυο είναι ένα καλύτερο Διαδίκτυο.
