HTTPS wszędzie: Usuń mieszane treści, aby poprawić SEO

Wprowadzenie

W ostatnich latach zaobserwowaliśmy, że Internet i szereg branż, które go napędzają (tj. Przeglądarki, wyszukiwarki itp.), Zaczynają poważniej traktować bezpieczeństwo użytkowników. Chrome jest teraz ostrzeganie użytkowników przed witrynami HTTP z większą liczbą przeglądarek gotowych do naśladowania, podczas gdy wyszukiwarka Google potwierdziła, że ​​zwiększają ranking wyszukiwarek HTTPS strony internetowe.

Takie zmiany zmotywowały znaczną część właścicieli witryn do przeniesienia swoich serwerów ze starego, niepewnego HTTP na bezpieczniejszą alternatywną HTTPS. (HTTPS jest uważany za bezpieczniejszy, ponieważ wymaga uwierzytelnienia serwerów za pomocą certyfikatów SSL, aby chronić użytkowników przed większością typów ataków sieciowych).

Jednak większość stron internetowych wdrożyła HTTPS tylko dla swoich najbardziej krytycznych komponentów, takich jak żądania logowania lub żądania POST, ale nadal może używać HTTP do innych „niekrytycznych” funkcji.

Ma to sens we wczesnych dniach HTTPS, ponieważ połączenia szyfrowane są droższe obliczeniowo z powodu konieczności wykonywania uściski dłoni dla każdego nowego połączenia. Co więcej, w tamtym czasie wiele powszechnie używanych platform, bibliotek i środowisk do tworzenia stron internetowych nie było gotowych do obsługi protokołu HTTPS - fakt, który powodował niekończące się bóle głowy administratorów i programistów w postaci awarii aplikacji późno w nocy lub niejasnych błędów w czasie wykonywania.

Oczywiście nie jest to już prawdą - w rzeczywistości, zgodnie z tym artykułem, nie za pomocą HTTPS dla cała kolekcja połączenia z Twoją witryną są w rzeczywistości złe dla Twojej firmy.

 

Mieszana treść

Nazywa się strony internetowe, które nie obsługują całej zawartości przez HTTPS mieszana zawartość strony internetowe. Akademik papier opublikowana w 2015 r. wykazała, że ​​ponad 43% ich próbki 100,000 XNUMX najlepszych Alexy obsłużyło co najmniej jeden rodzaj mieszanych treści.

Chociaż nie brzmi to jak wielka sprawa, mieszane treści mogą być dość niebezpieczne dla użytkowników, ale mogą również mieć negatywny wpływ na strony internetowe.

Kwestie bezpieczeństwa

Najważniejszym powodem korzystania z HTTPS dla całej witryny jest bezpieczeństwo. Hakerzy potrzebują tylko jednego niechronionego połączenia HTTP. Atakujący Man-in-the-Middle (MITM) może zastąpić dowolną treść HTTP na Twojej stronie w celu kradzieży poświadczeń i sesji, pozyskiwania poufnych danych lub uruchamiania exploitów przeglądarki i instalowania złośliwego oprogramowania na komputerach użytkowników.

Zagrożenie ze strony internetowej w naturalny sposób spowoduje, że użytkownicy będą nieufni i unikną ich w przyszłości, skutecznie szkodząc reputacji online.

Zarówno Firefox, jak i Chrome Zaczęło się domyślnie blokować mieszaną zawartość, umożliwiając użytkownikom ręczne wybieranie ładowania treści przez HTTP. Niemniej jednak, ponieważ mieszana zawartość stanowi zagrożenie dla bezpieczeństwa, obie przeglądarki wyświetlają użytkownikom ostrzeżenie o mieszanej zawartości, które może również negatywnie wpłynąć na reputację witryny.

 

Ostrzeżenie o mieszanej zawartości Firefoksa

Problemy z wydajnością

Oprócz bezpieczeństwa, coraz większa popularność HTTP / 2 przez przemysł przyniósł liczne ulepszenia wydajności i bezpieczeństwa w sieci.

Chociaż wzrost wydajności wydaje się sprzeczny z intuicją od HTTP / 2 działa tylko w przypadku szyfrowanych połączeń HTTPS protokół umożliwia przeglądarkom używanie jednego szyfrowanego połączenia z serwerem WWW HTTPS do całej komunikacji.

Ponowne użycie tego samego połączenia usuwa narzut związany z wielokrotnym ustanawianiem nowych (tj. Ponownie uścisk dłoni). Oznacza to, że przeskakiwanie z szyfrowanych połączeń HTTPS na niezaszyfrowany HTTP w witrynie o mieszanej zawartości jest w rzeczywistości wolniejsze i wymaga więcej zasobów niż odwiedzanie całkowicie chronionej witryny za pomocą pojedynczego połączenia HTTPS.

HTTP / 2 implementuje również 0-RTT tryb wznawiania sesji, pozwalający przeglądarkom wznowić wstrzymaną sesję z odwiedzoną wcześniej witryną HTTPS, wykorzystując tylko jedno żądanie (zamiast pełnego uzgadniania). To sprawia, że ​​wznowienie HTTP / 2 jest co najmniej tak szybkie, jak nieszyfrowane połączenie HTTP, przy jednoczesnym zapewnieniu wszystkich zalet HTTPS. Udostępnianie mieszanych treści oznacza, że ​​witryna nie może w pełni skorzystać z tej ani żadnej innej wspaniałej funkcji HTTP / 2.

W obu tych przypadkach HTTP / 2 poprawia szybkość połączenia użytkownika z Twoją witryną - i szybkość ma znaczenie. Badania naukowe wykazały, że szybkość reakcji i szybkość ładowania strony są krytycznymi wymaganiami dotyczącymi projektowania interfejsu użytkownika. Im dłuższy jest czas reakcji witryny, tym mniejsze jest prawdopodobieństwo, że użytkownicy pozostaną zaangażowani, a zaangażowanie użytkowników wpływa bezpośrednio na wygodę korzystania z witryny (aw konsekwencji na współczynniki konwersji).

Mieszane treści mogą również wpływać na wydajność na poziomie podstawowych technologii sieciowych używanych w Twojej witrynie. Przeglądarki teraz ogranicz funkcje javascript takich jak pracownicy usług i powiadomienia wypychane wyłącznie w celu zabezpieczenia kontekstów, ponieważ w przeciwnym razie hakerzy mogliby ich wykorzystać do szkodliwych celów. To znowu oznacza, że ​​twoja strona nie może korzystać z żadnej z tych technologii, gdy podajesz mieszane treści.

Problemy z SEO

Search engine optimization (SEO) to chleb powszedni sprzedawców internetowych. SEO odnosi się do praktyki poprawy rankingu strony internetowej w strona wyników wyszukiwania (SERP), co bezpośrednio wpływa na wielkość ruchu na stronie.

Google potwierdziło, że ich algorytm rankingu wyników wyszukiwania zapewnia niewielki wzrost w rankingu witrynom obsługiwanym przez HTTPS. Ponieważ przyspieszenie odbywa się w czasie rzeczywistym i na adres URL, obsługa witryny w całości przez HTTPS spowoduje zwiększenie SEO dla całej witryny (zamiast tylko tych adresów URL, które są obsługiwane przez HTTPS). To prawda, że ​​ten wzrost sygnału rankingowego jest dość lekki w porównaniu z innymi, takimi jak wysokiej jakości treści lub ruch użytkowników, nadal wynagradza Twoją inwestycję w usuwanie mieszanych treści.

Google też niedawno ogłosił prędkość ładowania strony i ogólna wydajność witryny są brane pod uwagę (ciężkie) przy podejmowaniu decyzji o rankingu. Oznacza to, że optymalizacje wydajności HTTP / 2 i usuwanie mieszanych treści mogą współpracować w celu zwiększenia widoczności witryny w sieci.

Wreszcie, jeśli chcesz w pełni wykorzystać SSL w SEO swojej witryny, możesz rozważyć Certyfikaty EV SSL.com, które zapewniają odwiedzającym najwyższe gwarancje dzięki wskaźnikom bezpieczeństwa (takim jak zielony pasek w przeglądarce), aby zapewnić im bezpieczeństwo i zaangażowanie w treść - a dłuższe wizyty to wyższe pozycje w rankingu.

Ostrzeżenia o mieszanej zawartości przeglądarki

Odwiedzający strony chronione przez SSL oczekują (i zasługują na) bezproblemową ochronę. Gdy witryna nie chroni w pełni wszystkich treści, przeglądarka wyświetli ostrzeżenie o „mieszanej zawartości”. Gdy Twoi klienci zobaczą to ostrzeżenie, mogą zareagować na jeden z dwóch sposobów. Jeśli oni nie poważnie podchodź do bezpieczeństwa, zignorują to, klikną i założą, że wszystko będzie dobrze (bardzo źle). Jeśli oni do poważnie podchodzimy do kwestii bezpieczeństwa, zwracają uwagę na to, wycofują się z witryny i zakładają, że ty nie traktuj bezpieczeństwa poważnie (nawet gorzej).

Co więcej, wszystkie nowoczesne przeglądarki będą blokować bardziej złośliwe typy mieszanych treści - i może to spowodować uszkodzenie witryny.

Najlepszym rozwiązaniem jest oczywiście upewnienie się, że te ostrzeżenia i / lub blokady nie pojawią się w pierwszej kolejności, poprzez prawidłowe skonfigurowanie witryny do obsługi wyłącznie bezpiecznych treści.

Dlaczego widzę to ostrzeżenie?

Ostrzeżenie o mieszanej zawartości oznacza, że ​​zarówno zabezpieczone, jak i niezabezpieczone elementy są wyświetlane na stronie, która powinna być całkowicie zaszyfrowana. Każda strona korzystająca z adresu HTTPS musi mieć całą zawartość pochodzącą z bezpiecznego źródła. Każda strona, która prowadzi do zasobu HTTP, jest uważana za niezabezpieczoną i jest oznaczana przez przeglądarkę jako zagrożenie bezpieczeństwa.

Ostrzeżenia o mieszanej zawartości dzielą się na dwie kategorie: mieszana zawartość pasywna i mieszana zawartość aktywna.

Mieszana zawartość pasywna

Treść pasywna to elementy, które można zastąpić lub zmienić, ale nie mogą zmienić innych części strony - na przykład grafiki lub zdjęcia. Prawdopodobnie najczęstszą przyczyną wszystkich ostrzeżeń o zawartości mieszanej jest sytuacja, w której (teoretycznie) bezpieczna witryna jest skonfigurowana do pobierania obrazów z niezabezpieczonego źródła.

Pasywne żądania HTTP są obsługiwane przez te tagi:<audio>(src atrybut)
<img> (src atrybut)
<video> (src atrybut)
<object> zasoby podrzędne (gdy <object> wykonuje żądania HTTP)

Mieszana zawartość aktywna

Aktywna zawartość może zmienić samą stronę internetową. Atak typu man-in-the-middle może pozwolić na przechwycenie i / lub przepisanie żądania treści HTTP na dowolnej stronie HTTPS. To sprawia, że ​​złośliwa zawartość aktywna jest bardzo niebezpieczna - poświadczenia użytkownika i poufne dane mogą zostać skradzione lub złośliwe oprogramowanie zostanie zainstalowane w systemie użytkownika. Na przykład fragment kodu JavaScript na stronie tworzenia konta, który ma pomóc użytkownikom w wygenerowaniu losowego hasła, może zostać zastąpiony kodem zapewniającym zamiast tego losowe, ale wstępnie wygenerowane hasło, lub w celu potajemnego dostarczenia zabezpieczonego w inny sposób hasła osobie trzeciej .

Aktywne mieszane treści mogą być wykorzystywane do naruszania poufnych danych prywatnych, ale nawet publiczne strony internetowe, które wydają się nieszkodliwe, mogą nadal przekierowywać odwiedzających na niebezpieczne strony, dostarczać niechciane treści lub kraść pliki cookie w celu wykorzystania.

Aktywne żądania HTTP są obsługiwane przez:<script> (src atrybut)
<link> (href atrybut) (obejmuje arkusze stylów CSS)
XMLHttpRequest żądania obiektu
<iframe> (src atrybuty)
Wszystkie przypadki w CSS, w których używana jest wartość adresu URL (@font-face, cursor, background-imageEtc.)
<object> (data atrybut)

Wszystkie nowoczesne przeglądarki domyślnie blokują aktywną zawartość mieszaną (która może uszkodzić niepoprawnie skonfigurowaną stronę)

Dlaczego i jak naprawić ostrzeżenia o mieszanej zawartości

Zabezpieczenie witryny internetowej pozwala odwiedzającym Ci ufać, co jest niezwykle ważne. Jednak wyeliminowanie wszystkich niezabezpieczonych treści z witryny ma jeszcze większą zaletę w postaci wyeliminowania fałszywych ostrzeżeń dodatnich - jeśli poprawnie skonfigurowana witryna zostanie naruszona, każdy niezabezpieczony element wstawiony przez atakującego spowoduje wyświetlenie ostrzeżenia o mieszanej zawartości, co daje dodatkowe możliwości wykrycia i rozwiąż te problemy.

Ponownie najlepszym sposobem na uniknięcie problemów z mieszaną treścią jest podawanie całej zawartości przez HTTPS zamiast HTTP.

W swojej własnej domenie udostępniaj wszystkie treści jako HTTPS i popraw linki. Często wersja HTTPS treści już istnieje, a to wymaga tylko dodania litery „s” do linków - http:// do https://.

W przypadku innych domen użyj wersji HTTPS witryny, jeśli jest dostępna. Jeśli protokół HTTPS nie jest dostępny, możesz spróbować skontaktować się z domeną i zapytać ją, czy może udostępnić zawartość za pośrednictwem protokołu HTTPS.

Alternatywnie, użycie „względnych adresów URL” pozwala przeglądarce automatycznie wybrać HTTP lub HTTPS, w zależności od protokołu używanego przez użytkownika. Na przykład, zamiast tworzyć łącze do obrazu za pomocą linku z „ścieżką bezwzględną”:


Witryna może używać ścieżki względnej:


Umożliwia to przeglądarce automatyczne dodawanie jednego z nich http: or https: w razie potrzeby na początek adresu URL. (Pamiętaj, że witryna, do której prowadzi link, musi oferować zasób zarówno przez HTTP, jak i HTTPS, aby względne adresy URL działały).

Kliknij te linki, aby uzyskać bardziej szczegółowe informacje na temat ostrzeżeń o mieszanej zawartości:
Chrom
Firefox
Internet Explorer
Doskonałymi narzędziami pomagającymi w śledzeniu linków innych niż SSL w kodzie źródłowym są narzędzia programistyczne wbudowane w Firefox i Chrom przeglądarki. Informacje na temat wymuszania na serwerze Apache obsługi tylko HTTPS mogą być znaleźć tutaj.

Problem z pierwszym żądaniem

Mamy nadzieję, że do tego momentu ten artykuł przedstawił kilka dobrych argumentów przeciwko mieszanej zawartości, chociaż nawet jeśli zdecydujesz się na migrację witryny całkowicie do HTTPS, nadal możesz wprowadzić pewne ulepszenia.

Gdy użytkownicy wpisują adres URL witryny w przeglądarce, zazwyczaj nigdy nie w pełni wpisują nazwę protokołu (tj https://). Oczywiście przeglądarka nie wie, pod jakim protokołem twoja strona jest obsługiwana i domyślnie ustawiony jest HTTP.

Jeśli witryna jest poprawnie skonfigurowana, przekieruje (za pośrednictwem odpowiedzi HTTP 301/302) przeglądarkę do instancji HTTPS; oznacza to jednak, że przeglądarki muszą wykonać dwa żądania zamiast jednego żądania HTTPS podczas pierwszej wizyty na Twojej stronie.

Może to być problematyczne, ponieważ użytkownicy mogą dostrzec opóźnienie, uzyskując złe pierwsze wrażenie na stronie. W związku z tym rzadziej będą się trzymać, co ostatecznie może doprowadzić do zmniejszenia ruchu odwiedzających.

Ponadto hakerzy mogą przechwycić to pierwsze żądanie HTTP, aby je odczytać lub zmodyfikować przed dotarciem do serwera. Częstym zjawiskiem w tego typu przypadkach jest przeprowadzenie ataku sieciowego o nazwie Stripowanie SSL który pozwala atakującemu zastąpić połączenie HTTPS niechronionym połączeniem HTTP.

HTTP Strict Transport Security na ratunek

Surowe bezpieczeństwo transportu HTTP or HSTS jest próbą rozwiązania tego problemu. Wdrożony przez Internet Engineering Task Force (IETF) w RFC 6797, HSTS jest nagłówkiem HTTPS, który serwery WWW mogą uwzględnić w swoich odpowiedziach. Ten nagłówek instruuje zgodne przeglądarki, aby zawsze korzystały z HTTPS podczas odwiedzania strony internetowej. HSTS ma zastosowanie do wszystkich żądań, w tym obrazów, arkuszy stylów CSS i wszelkich innych zasobów sieciowych.

Jak możesz sobie wyobrazić, przeglądarka musi najpierw widzieć nagłówek HSTS w celu uhonorowania go, co oznacza, że ​​HSTS polega na tym, że atakujący nie są w stanie przechwycić tego pierwszego żądania HTTP. W rezultacie sam HSTS nie jest kompletnym rozwiązaniem, ale raczej prostym obejściem usuwania pasków SSL.

Wstępne ładowanie HSTS

Na szczęście w projekcie Chromium opracowano rozwiązanie, które nazwali Wstępne ładowanie HSTS, która polega na utrzymywaniu publicznej listy stron internetowych, które zażądały funkcji wstępnego ładowania HSTS. Podczas odwiedzania strony internetowej przeglądarki Chromium sprawdzą listę, a jeśli witryna zostanie tam znaleziona, będą się z nią komunikować przez HTTPS (w tym to pierwsze żądanie), niezależnie od wcześniejszej historii lub danych wprowadzonych przez użytkownika.

W rezultacie wstępne ładowanie może poprawić zarówno wydajność witryny, jak i bezpieczeństwo, usuwając początkowe żądanie HTTP. Ponadto może pośrednio poprawić ranking SERP witryny i wygodę użytkownika.

Wszystkie główne przeglądarki (Google Chrome, Microsoft IE / Edge, Safari Apple, Mozilla Firefox i Opera) również konsultują się z listą wstępnego ładowania Chromium HSTS, co oznacza, że ​​dołączenie do tej listy zapewni użytkownikom wstępne korzyści dla dowolnej przeglądarki, z której korzystają.

Bylibyśmy jednak niedbali, gdybyśmy nie wspomnieli, że istnieją obawy dotyczące skalowalności rozwiązania listy wstępnego ładowania HSTS - nie może obejmować wszystkich witryn w Internecie ze względu na praktyczny rozmiar i ograniczenia złożoności obliczeniowej, a tym samym wejście może być coraz trudniejsze w miarę upływu czasu, a wstępne ładowanie HSTS staje się szerzej stosowane.

Jak mogę dołączyć?

Jeśli chcesz dołączyć do listy wstępnego ładowania HSTS, pamiętaj, że Twoja witryna musi przestrzegać określonych zasad. W ramach projektu Chromium opublikowano listę wymagań dotyczących przesyłania stron internetowych, które chcą dołączyć do strony internetowej projektu. Wymagania są zawarte dosłownie na poniższej liście, jednak więcej szczegółów można znaleźć w HSTS RFC 6797.

Aby zostać zaakceptowanym na liście wstępnego ładowania HSTS, witryna musi:

  1. Podaj ważny certyfikat.
  2. Przekieruj z HTTP na HTTPS na tym samym hoście, jeśli nasłuchujesz na porcie 80.
  3. Podaj wszystkie subdomeny przez HTTPS. W szczególności musisz obsługiwać HTTPS dla www subdomena, jeśli istnieje rekord DNS dla tej subdomeny.
  4. Podaj nagłówek HSTS zgodny z RFC 6797 w domenie podstawowej dla żądań HTTPS:
    • Połączenia max-age musi wynosić co najmniej 31536000 sekund (1 rok).
    • Połączenia includeSubDomains dyrektywa musi zostać określona.
    • Połączenia preload dyrektywa musi zostać określona.
  5. Jeśli udostępniasz dodatkowe przekierowanie z witryny HTTPS, to przekierowanie musi również mieć zgodny nagłówek HSTS (podobnie jak strona, na którą przekierowuje).

Oto przykład prawidłowego nagłówka HSTS.

Ścisłe bezpieczeństwo transportu: maksymalny wiek = 63072000; includeSubDomains; wstępne ładowanie

Możesz przetestować swoją witrynę pod kątem kwalifikowalności, odwiedzając witrynę z listą wstępnego ładowania i wpisując domenę w polu wprowadzania. Aplikacja internetowa wskaże, jakie problemy (jeśli występują) należy naprawić.

Narzędzie kwalifikujące się do wstępnego ładowania HSTS

Niestety, złożoność współczesnych stron internetowych nie pozwala na wymyślenie konfiguracji serwera o jednym rozmiarze dla wszystkich, aby wstępnie załadować HSTS w tym artykule. Mogą występować problemy w czasie wykonywania z zewnętrznymi lub innymi niestandardowymi komponentami, które należy indywidualnie rozwiązać.

Chociaż projekt Chromium zawiera pewne zalecenia dotyczące wdrażania na stronie wstępnego ładowania, zawsze chętnie pomagamy naszym klientom w poprawie bezpieczeństwa komunikacji. Po prostu napisz do nas e-mail na adres support@ssl.com a ekspert z przyjemnością omówi najlepszą drogę do spełnienia Twoich potrzeb w zakresie bezpieczeństwa.

Wnioski

HTTPS staje się domyślnym protokołem komunikacji internetowej, a jego pełne zaangażowanie może mieć pozytywne skutki tylko dla właścicieli witryn i odwiedzających. Zalecamy usunięcie wszelkich mieszanych treści ze stron internetowych, aby uniknąć niepotrzebnych problemów (i niezadowolonych użytkowników).

Jak zawsze dzięki za wybór SSL.com, gdzie naszym zdaniem bezpieczniejszy Internet to lepszy Internet.

Aktualizacja (7 października 2019 r.):  W dniu 3 października 2019 r. Blog Chromium ogłosił taki będzie Chrome bloking wszystkie mieszane treści, w tym obrazy, audio i wideo, w serii kroków, począwszy od Chrome 79 (grudzień 2019 r.), a skończywszy na Chrome 81 na początku 2020 r. To posunięcie Google oznacza, że ​​wyeliminowanie mieszanych treści z Twoja strona internetowa.

SSL.com's EV Podpisywanie kodu Certyfikaty pomagają chronić Twój kod przed nieautoryzowanym manipulowaniem i naruszeniem bezpieczeństwa z najwyższym poziomem walidacji i są dostępne za jedyne $ 249 rocznie. Można również używaj swojego certyfikatu EV Code Signing na dużą skalę w chmurze za pomocą eSigner. Dzięki zautomatyzowanej opcji eSigner nadaje się do podpisywania kodu korporacyjnego.

ZAMÓW TERAZ

Subskrybuj biuletyn SSL.com

Nie przegap nowych artykułów i aktualizacji z SSL.com

Bądź na bieżąco i bezpiecznie

SSL.com jest światowym liderem w dziedzinie cyberbezpieczeństwa, PKI i certyfikaty cyfrowe. Zarejestruj się, aby otrzymywać najnowsze wiadomości branżowe, wskazówki i ogłoszenia o produktach od SSL.com.

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.