HTTPS Everywhere: Hapus Konten Campuran Untuk Meningkatkan SEO

Pengantar

Dalam beberapa tahun terakhir kita telah melihat Web dan berbagai industri yang mengendarainya (yaitu browser, mesin pencari, dll.) Mulai memperhatikan keamanan pengguna dengan lebih serius. Chrome sekarang memperingatkan pengguna terhadap situs web HTTP dengan lebih banyak browser yang siap diikuti, sementara Google Penelusuran telah mengonfirmasi bahwa mereka memberikan peningkatan peringkat mesin telusur ke HTTPS website.

Perkembangan seperti ini telah memotivasi sebagian besar pemilik situs web untuk memindahkan server mereka dari HTTP yang lama dan tidak aman ke HTTPS alternatif yang lebih aman. (HTTPS dianggap lebih aman karena memerlukan server untuk diautentikasi melalui sertifikat SSL sebagai sarana untuk melindungi pengguna dari sebagian besar jenis serangan jaringan.)

Namun, sebagian besar situs web hanya menerapkan HTTPS untuk komponen mereka yang paling kritis, seperti permintaan masuk atau POST, tetapi masih dapat menggunakan HTTP untuk fungsi “tidak kritis” lainnya.

Ini masuk akal di masa-masa awal HTTPS, karena koneksi terenkripsi lebih mahal secara komputasi karena harus berkinerja jabat tangan untuk setiap koneksi baru. Selain itu, pada saat itu banyak platform pengembangan web, perpustakaan, dan lingkungan yang banyak digunakan tidak siap untuk HTTPS - sebuah fakta yang menyebabkan administrator dan pengembang sakit kepala tanpa henti dalam bentuk crash aplikasi larut malam atau kesalahan run-time yang tidak jelas.

Tentu saja, ini tidak benar lagi - faktanya, seperti yang akan dibahas dalam artikel ini, tidak menggunakan HTTPS untuk semua koneksi situs web Anda sebenarnya buruk untuk bisnis Anda.

 

Konten campuran

Situs web yang tidak menayangkan semua kontennya melalui HTTPS disebut konten campuran situs web. Seorang akademisi kertas diterbitkan pada tahun 2015 menemukan bahwa lebih dari 43% dari sampel mereka atas 100,000 Alexa melayani setidaknya satu jenis konten campuran.

Meskipun ini tidak terdengar seperti masalah besar, konten campuran bisa sangat berbahaya bagi pengguna, tetapi juga dapat memiliki efek negatif pada situs web.

Masalah keamanan

Alasan paling penting untuk menggunakan HTTPS untuk seluruh situs web Anda adalah keamanan. Satu koneksi HTTP tanpa perlindungan adalah semua yang dibutuhkan peretas. Penyerang Man-in-the-middle (MITM) dapat mengganti konten HTTP pada halaman Anda untuk mencuri kredensial dan sesi, memperoleh data sensitif, atau meluncurkan eksploitasi browser dan menginstal malware di komputer pengunjung Anda.

Dikompromikan oleh situs web Anda secara alami akan membuat pengguna Anda tidak percaya dan menghindarinya di masa depan, yang secara efektif merusak reputasi online Anda.

Baik Firefox dan Chrome sudah mulai untuk memblokir konten campuran secara default, memungkinkan pengguna untuk secara manual memilih memuat konten melalui HTTP. Meskipun demikian, karena konten campuran merupakan risiko keamanan, kedua browser memang menampilkan peringatan konten campuran kepada pengguna, yang juga dapat berdampak negatif terhadap reputasi situs web Anda.

 

Peringatan konten campuran Firefox

Masalah perfoma

Selain keamanan, adopsi yang terus meningkat HTTP / 2 oleh industri telah membawa banyak peningkatan kinerja dan keamanan ke Web.

Meskipun peningkatan kinerja tampaknya kontra-intuitif sejak HTTP / 2 hanya bekerja lebih dari koneksi HTTPS terenkripsi, protokol memungkinkan browser untuk menggunakan koneksi terenkripsi tunggal dengan server web HTTPS untuk semua komunikasi mereka.

Menggunakan kembali koneksi yang sama menghilangkan overhead yang dikenakan dengan berulang kali membuat yang baru (yaitu jabat tangan itu lagi). Ini berarti bahwa melompat dari koneksi HTTPS terenkripsi ke HTTP tidak terenkripsi di situs dengan konten campuran sebenarnya lebih lambat dan lebih banyak sumber daya daripada mengunjungi situs yang sepenuhnya dilindungi menggunakan koneksi HTTPS tunggal.

HTTP / 2 juga mengimplementasikan 0-RTT mode pembukaan kembali sesi, memungkinkan browser untuk melanjutkan sesi yang dijeda dengan situs web HTTPS yang telah mereka kunjungi sebelumnya, hanya menggunakan satu permintaan (bukan jabat tangan lengkap). Ini membuat HTTP / 2 memulai kembali setidaknya secepat koneksi HTTP yang tidak terenkripsi, sambil tetap memberikan semua manfaat dari HTTPS. Menyajikan konten campuran berarti bahwa situs web Anda tidak dapat memanfaatkan sepenuhnya ini atau fitur hebat lainnya dari HTTP / 2.

Dalam kedua kasus ini, HTTP / 2 meningkatkan kecepatan koneksi pengunjung ke situs Anda - dan kecepatan itu penting. Studi telah menunjukkan selama bertahun-tahun bahwa respons dan kecepatan pemuatan halaman adalah persyaratan desain antarmuka pengguna yang penting. Semakin lambat waktu respons situs web, semakin kecil kemungkinan bagi pengguna untuk tetap terlibat, dan keterlibatan pengguna secara langsung memengaruhi pengalaman pengguna situs web Anda (dan akibatnya, tingkat konversi Anda).

Konten campuran juga dapat memengaruhi kinerja di tingkat teknologi web mendasar yang digunakan di situs web Anda. Browser sekarang batasi fitur javascript seperti pekerja Layanan dan mendorong pemberitahuan ke konteks aman saja, karena mereka bisa disalahgunakan oleh peretas untuk tujuan jahat. Ini lagi berarti bahwa situs web Anda tidak dapat memanfaatkan salah satu dari teknologi ini saat menyajikan konten campuran.

Masalah SEO

Optimisasi mesin pencari (SEO) adalah roti dan mentega dari pemasar bisnis online. SEO mengacu pada praktik meningkatkan peringkat situs web dalam halaman hasil pencarian mesin (SERP), yang secara langsung mempengaruhi volume lalu lintas situs web.

Google telah mengonfirmasi bahwa algoritme peringkat hasil penelusuran mereka memberikan sedikit peningkatan peringkat ke situs web yang dilayani melalui HTTPS. Karena peningkatan ini real-time dan per URL, menyajikan situs web secara keseluruhan melalui HTTPS akan menghasilkan peningkatan SEO untuk seluruh situs web (bukan hanya URL yang disajikan melalui HTTPS). Memang, peningkatan sinyal peringkat ini cukup ringan jika dibandingkan dengan yang lain seperti konten berkualitas atau lalu lintas pengguna, ini masih memberi penghargaan pada investasi Anda dalam menghapus konten campuran.

Google juga baru-baru ini mengumumkan bahwa kecepatan memuat halaman dan kinerja situs web umum dipertimbangkan (berat) ketika menentukan peringkat. Ini berarti bahwa optimasi kinerja HTTP / 2 dan menghapus konten campuran dapat bekerja bersama untuk meningkatkan visibilitas situs web Anda di web.

Akhirnya, jika Anda ingin mengambil keuntungan penuh dari SSL di SEO situs web Anda, Anda dapat mempertimbangkan Sertifikat EV SSL.com, yang menawarkan jaminan tertinggi kepada pengunjung Anda melalui indikator keamanan (seperti bilah hijau di browser) untuk menjaga mereka tetap aman dan terlibat dengan konten Anda - dan kunjungan yang lebih lama sama dengan peringkat yang lebih tinggi.

Peringatan Konten Campuran Peramban

Pengunjung situs yang dilindungi oleh SSL mengharapkan (dan pantas mendapatkan) perlindungan tanpa batas. Jika situs tidak sepenuhnya melindungi semua konten, browser akan menampilkan peringatan "konten campuran". Saat pelanggan Anda melihat peringatan ini, mereka dapat bereaksi dengan salah satu dari dua cara. Jika mereka tidak Jaga keamanan dengan serius, mereka akan mengabaikannya, mengklik dan menganggap semuanya akan baik-baik saja (sangat buruk). Jika mereka do Jaga keamanan dengan serius, mereka akan memperhatikannya, kembali keluar dari situs Anda dan menganggap itu kamu jangan menganggap serius keamanan (bahkan lebih buruk).

Selain itu, semua browser modern akan memblokir jenis konten campuran yang lebih berbahaya - dan melakukan hal itu dapat merusak situs Anda.

Solusi terbaik, tentu saja, adalah memastikan bahwa peringatan dan / atau pemblokiran ini tidak akan terjadi sejak awal dengan mengonfigurasi situs Anda dengan benar agar hanya menyajikan konten yang aman.

Mengapa Saya Melihat Peringatan Ini?

Peringatan konten campuran berarti bahwa elemen aman dan tidak aman disajikan di halaman yang harus dienkripsi sepenuhnya. Setiap halaman yang menggunakan alamat HTTPS harus memiliki semua konten yang berasal dari sumber yang diamankan. Setiap halaman yang menautkan ke sumber daya HTTP dianggap tidak aman dan ditandai oleh browser Anda sebagai risiko keamanan.

Peringatan konten campuran terbagi dalam dua kategori: konten pasif campuran dan campuran konten aktif.

Konten Pasif Campuran

Konten pasif mengacu pada item yang dapat diganti atau diubah tetapi tidak dapat mengubah bagian lain dari halaman - misalnya, grafik atau foto. Mungkin penyebab paling umum dari semua peringatan konten campuran adalah saat situs aman (secara teoritis) dikonfigurasi untuk menarik gambar dari sumber yang tidak aman.

Permintaan HTTP pasif dilayani melalui tag ini:<audio>(src atribut)
<img> (src atribut)
<video> (src atribut)
<object> sub-sumber daya (ketika suatu <object> melakukan permintaan HTTP)

Konten Aktif Campuran

Konten aktif dapat mengubah halaman web itu sendiri. Serangan man-in-the-middle dapat memungkinkan permintaan konten HTTP di halaman HTTPS apa pun untuk dicegat dan / atau ditulis ulang. Hal ini membuat konten aktif yang berbahaya menjadi sangat berbahaya - kredensial pengguna dan data sensitif dapat dicuri, atau malware diinstal pada sistem pengguna. Misalnya, sedikit JavaScript pada halaman pembuatan akun yang dirancang untuk membantu pengguna membuat sandi acak dapat diganti dengan kode yang memberikan sandi yang tampak acak tetapi dibuat sebelumnya, atau mengirimkan sandi yang aman secara diam-diam kepada pihak ketiga. .

Konten campuran aktif dapat dieksploitasi untuk mengkompromikan data pribadi yang sensitif, tetapi bahkan halaman web yang menghadap publik yang tampaknya tidak berbahaya masih dapat mengarahkan pengunjung ke situs berbahaya, mengirimkan konten yang tidak diinginkan atau mencuri cookie untuk dieksploitasi.

Permintaan HTTP aktif dilayani melalui:<script> (src atribut)
<link> (href atribut) (ini termasuk stylesheet CSS)
XMLHttpRequest permintaan objek
<iframe> (src atribut)
Semua kasus di CSS tempat nilai url digunakan (@font-face, cursor, background-image, Dll)
<object> (data atribut)

Semua browser modern akan memblokir konten campuran aktif secara default (yang dapat merusak situs yang tidak dikonfigurasi dengan benar)

Mengapa dan Bagaimana Cara Memperbaiki Peringatan Konten Campuran

Mengamankan situs web Anda memungkinkan pengunjung mempercayai Anda, yang sangat penting. Namun, menghapus semua konten tidak aman dari situs Anda memiliki bonus yang lebih besar untuk menghilangkan peringatan positif palsu - jika situs Anda yang dikonfigurasi dengan benar disusupi, elemen tidak aman yang disisipkan penyerang akan memicu peringatan konten campuran, memberi Anda tripwire ekstra untuk mendeteksi dan mengatasi masalah ini.

Sekali lagi, cara terbaik untuk menghindari masalah konten campuran adalah melayani semua konten melalui HTTPS, bukan HTTP.

Untuk domain Anda sendiri, tayangkan semua konten sebagai HTTPS dan perbaiki link Anda. Seringkali, versi HTTPS dari konten sudah ada dan ini hanya perlu menambahkan "s" ke tautan - http:// untuk https://.

Untuk domain lain, gunakan versi HTTPS situs jika tersedia. Jika HTTPS tidak tersedia, Anda dapat mencoba menghubungi domain dan menanyakan apakah mereka dapat menyediakan konten melalui HTTPS.

Atau, menggunakan "URL relatif" memungkinkan browser memilih HTTP atau HTTPS secara otomatis, bergantung pada protokol mana yang digunakan pengguna. Misalnya, alih-alih menautkan ke gambar menggunakan tautan dengan "jalur absolut":


Situs ini dapat menggunakan jalur relatif:


Ini memungkinkan browser untuk secara otomatis menambahkan http: or https: ke awal URL sesuai kebutuhan. (Perhatikan bahwa situs yang ditautkan harus menawarkan sumber daya melalui HTTP dan HTTPS agar URL relatif berfungsi.)

Ikuti tautan ini untuk informasi lebih spesifik peramban tentang peringatan konten campuran:
Chrome
Firefox
Internet Explorer
Alat luar biasa untuk membantu melacak tautan non-SSL dalam kode sumber Anda adalah alat pengembang yang terpasang di Firefox dan Chrome browser. Informasi tentang memaksa server Apache untuk menangani hanya HTTPS dapat ditemukan di sini.

Masalah permintaan pertama

Kami berharap bahwa sampai titik ini, artikel ini telah memberikan beberapa argumen yang bagus terhadap konten campuran, meskipun meskipun Anda memutuskan untuk memigrasi situs web Anda sepenuhnya ke HTTPS, masih ada beberapa perbaikan yang dapat Anda lakukan.

Ketika pengguna mengetik URL situs web Anda di browser, mereka biasanya tidak pernah mengetik nama protokol secara penuh (mis https://). Secara alami, browser tidak tahu protokol mana yang dilayani oleh situs web Anda dan default ke HTTP.

Jika situs web Anda dikonfigurasi dengan benar, itu akan mengarahkan (melalui HTTP 301/302 tanggapan) browser ke instance HTTPS-nya; meskipun ini berarti bahwa browser harus melakukan dua permintaan alih-alih satu permintaan HTTPS ketika mereka pertama kali mengunjungi situs web Anda.

Ini bisa menjadi masalah karena pengguna dapat merasakan lag, mendapatkan kesan pertama yang buruk dari situs. Dengan demikian, mereka akan cenderung bertahan yang akhirnya dapat menyebabkan penurunan lalu lintas pengunjung.

Selain itu, peretas dapat mencegat permintaan HTTP pertama itu untuk membaca atau memodifikasinya sebelum mencapai server. Kejadian umum untuk jenis kasus ini adalah untuk melakukan serangan jaringan yang disebut Pengupasan SSL yang memungkinkan penyerang untuk mengganti koneksi HTTPS dengan HTTP yang tidak dilindungi.

Keamanan Transportasi Ketat HTTP untuk penyelamatan

Keamanan Transportasi Ketat HTTP or HSTS adalah upaya untuk menyelesaikan masalah ini. Diimplementasikan oleh Internet Engineering Task Force (IETF) di RFC 6797, HSTS adalah header HTTPS yang dapat dimasukkan oleh server web dalam respons mereka. Header ini memerintahkan browser yang patuh untuk selalu menggunakan HTTPS ketika mengunjungi situs web. HSTS berlaku untuk semua permintaan termasuk gambar, stylesheet CSS dan sumber daya web lainnya.

Seperti yang Anda bayangkan, browser harus terlebih dahulu melihat header HSTS untuk menghormatinya, yang berarti bahwa HSTS bergantung pada penyerang yang tidak dapat mencegat permintaan HTTP pertama itu. Akibatnya, HSTS dengan sendirinya bukan solusi lengkap melainkan solusi sederhana untuk pengupasan SSL.

Pra-pembacaan HSTS

Untungnya, proyek Chromium telah menghasilkan solusi yang mereka beri nama Pra-pembacaan HSTS, yang terdiri dari memelihara daftar publik situs web yang telah meminta fungsionalitas preloading HSTS. Saat mengunjungi situs web, browser Chromium akan berkonsultasi dengan daftar dan jika situs tersebut ditemukan di sana, mereka akan melanjutkan untuk berkomunikasi dengannya melalui HTTPS (termasuk permintaan pertama itu) terlepas dari riwayat sebelumnya atau input pengguna.

Sebagai konsekuensinya, preloading dapat meningkatkan kinerja dan keamanan situs web Anda dengan menghapus permintaan HTTP awal. Selain itu, secara tidak langsung dapat meningkatkan peringkat SERP dan pengalaman pengguna situs Anda.

Semua browser utama (Google Chrome, Microsoft IE / Edge, Apple Safari, Mozilla's Firefox dan Opera) juga berkonsultasi dengan daftar preload HSTS Chromium, yang berarti bahwa bergabung dengan daftar ini akan memberikan manfaat preload kepada pengunjung Anda di mana pun browser yang mereka gunakan.

Namun, kami akan lalai jika kami tidak menyebutkan bahwa ada kekhawatiran tentang skalabilitas dari solusi daftar pramuat HSTS - Ini tidak dapat menyertakan semua situs web di Internet karena ukuran praktis dan batasan kompleksitas komputasi, dan akibatnya entri menjadi semakin sulit seiring berjalannya waktu dan prapemuatan HSTS diadopsi secara lebih luas.

Bagaimana saya bisa bergabung?

Jika Anda tertarik untuk bergabung dengan daftar preload HSTS, harap diingat bahwa situs web Anda harus mengikuti aturan tertentu. Proyek Chromium telah menerbitkan daftar persyaratan pengiriman untuk situs web yang ingin bergabung di situs web proyek mereka. Persyaratan tersebut dimasukkan secara kata demi kata dalam daftar berikut, namun Anda dapat menemukan rincian lebih lanjut dalam HSTS RFC 6797.

Untuk diterima dalam daftar pramuat HSTS, situs web Anda harus:

  1. Sajikan sertifikat yang valid.
  2. Redirect dari HTTP ke HTTPS pada host yang sama, jika Anda mendengarkan pada port 80.
  3. Sajikan semua subdomain melalui HTTPS. Khususnya, Anda harus mendukung HTTPS untuk www subdomain jika ada catatan DNS untuk subdomain itu.
  4. Sajikan tajuk HSTS yang sesuai dengan RFC 6797 pada domain dasar untuk permintaan HTTPS:
    • Grafik max-age harus minimal 31536000 detik (1 tahun).
    • Grafik includeSubDomains arahan harus ditentukan.
    • Grafik preload arahan harus ditentukan.
  5. Jika Anda melayani pengalihan tambahan dari situs HTTPS Anda, pengalihan itu harus juga memiliki header HSTS yang sesuai (seperti halaman yang harus dialihkan).

Berikut adalah contoh header HSTS yang valid.

Ketat-Transport-Security: max-age = 63072000; includeSubDomains; preload

Anda dapat menguji kelayakan situs web Anda dengan mengunjungi situs web preload list dan memasukkan domain Anda di kotak input. Aplikasi web di sana akan menunjukkan masalah apa (jika ada) yang perlu Anda perbaiki.

Alat kelayakan pra-muat HSTS

Sayangnya, kompleksitas situs web modern tidak memungkinkan seseorang untuk datang dengan konfigurasi server satu ukuran untuk semua untuk preloading HSTS untuk dimasukkan dalam artikel ini. Mungkin ada masalah run-time dengan pihak ketiga atau komponen khusus lainnya yang harus diselesaikan secara individual.

Meskipun proyek Chromium telah memasukkan beberapa rekomendasi penempatan di situs web preload, kami selalu senang membantu pelanggan kami meningkatkan keamanan komunikasi mereka. Kirimkan email kepada kami di support@ssl.com dan seorang ahli akan dengan senang hati membahas jalan terbaik ke depan untuk kebutuhan keamanan Anda.

Kesimpulan

HTTPS menjadi protokol komunikasi Web default, dan sepenuhnya berkomitmen untuk itu hanya dapat memiliki efek positif bagi pemilik situs dan pengunjung. Kami sarankan untuk menghapus konten campuran dari situs web Anda untuk menghindari masalah yang tidak perlu (dan pengguna yang tidak senang).

Seperti biasa, terima kasih telah memilih SSL.com, di mana kami percaya bahwa Internet yang lebih aman adalah Internet yang lebih baik.

Pembaruan (7 Oktober 2019):  Pada 3 Oktober 2019, blog Chromium mengumumkan Chrome itu akan pemblokiran semua konten campuran, termasuk gambar, audio, dan video, dalam serangkaian langkah yang dimulai dengan Chrome 79 (Desember 2019), dan berlanjut hingga Chrome 81 pada awal tahun 2020. Langkah Google ini membuat semakin penting untuk menghilangkan konten campuran dari situs Anda.

SSL.com EV Penandatanganan Kode sertifikat membantu melindungi kode Anda dari gangguan dan kompromi yang tidak sah dengan tingkat validasi tertinggi, dan tersedia hanya untuk $ 249 per tahun. Anda juga bisa gunakan sertifikat Penandatanganan Kode EV Anda dalam skala besar di cloud menggunakan eSigner. Dengan opsi otomatisnya, eSigner cocok untuk penandatanganan kode perusahaan.

PESAN SEKARANG

Berlangganan Newsletter SSL.com

Jangan lewatkan artikel baru dan pembaruan dari SSL.com

Tetap Terinformasi dan Aman

SSL.com adalah pemimpin global dalam keamanan siber, PKI dan sertifikat digital. Daftar untuk menerima berita industri terkini, tips, dan pengumuman produk dari SSL.com.

Kami sangat menantikan tanggapan Anda

Ikuti survei kami dan beri tahu kami pendapat Anda tentang pembelian terakhir Anda.