Back to Question Center
0

साइटवर SSL (HTTPS) वर लोड करण्यासाठी काय फायदा आहे? - मिहान

1 answers:

चला तर आपल्याकडे मोठी सामग्री-फक्त साइट आहे असे म्हणूया; नाही लॉगिन किंवा लॉगआउट, कोणतेही वापरकर्तानावे, ईमेल पत्ते नाहीत, सुरक्षित क्षेत्र नाही, साइटवर काहीही गुप्त नाही, नाडा. फक्त साध्या साइटवर येतात आणि पृष्ठावरुन जा आणि सामग्री पहा.

Google वरून एसइओमधील किंचित टक्क्याव्यतिरिक्त ( अतिशय किंचित, मी जे वाचले आहे), साइटवर HTTPS द्वारे लोड करण्याच्या सक्तीचा कोणताही लाभ आहे का?

- wi-fi habrahabr.ru
February 7, 2018

HTTPS केवळ गुप्तता (ज्याची आपण किंमतबद्दल शंका घेत आहात, तरीदेखील काही चांगल्या कारणास्तव आहेत) प्रदान करत नाही तर सत्यता ) , जे नेहमी मूल्य आहे. त्याशिवाय, एक दुर्भावनापूर्ण प्रवेश बिंदू / राउटर / ISP / इ. वापरकर्त्यास प्रदर्शित करण्यापूर्वी आपल्या साइटचा कोणताही भाग पुन्हा लिहू शकतो. यात खालील गोष्टींचा समावेश असू शकतो:

  • आपल्या प्रतिस्पर्ध्यांसाठी जाहिरात इंजेक्शनने
  • आपली साइट खराब दिसण्यात आणि आपल्या प्रतिष्ठेला नुकसान पोहोचवणार्या जाहिराती किंवा त्रासदायक विजेट्स इंजेक्शनच्या
  • अभ्यागताच्या कॉम्प्यूटरवर मालवेअरच्या डाऊनलोड-टू डाउनलोड करण्यासाठी कारणीभूत गोष्टींचा इंजेक्शन करणे, नंतर (यथायोग्य!) हे आपणास दोष देणारे
  • मालवेयर एकत्रित केलेल्या आपल्या साइटवरून सॉफ्टवेअर डाउनलोड बदली
  • आपल्या प्रतिमा गुणवत्ता कमी
  • आपल्या साइटचे काही भाग काढून ते आपल्याला पाहू नयेत, ई. जी. ज्या गोष्टी त्यांच्या स्वत: च्या सेवांमध्ये स्पर्धा करतात किंवा खराब प्रकाश
  • इ.

या गोष्टींपासून आपल्या वापरकर्त्यांना संरक्षण देण्यास अपयश हे बेजबाबदार आहेत.

"साइटवर गुप्त असे काहीही नाही"

तुम्ही नुसार. कोणीतरी सुरक्षित कनेक्शन इच्छित असल्यास उत्तम प्रकारे चांगले कारण असू शकते. तो (अंशतः) गोपनीयता तयार करते:

माझे अॅडमिन पाहू शकते की मी काही फोटो साइटला युआरएलद्वारे ब्राउज करीत आहे, परंतु मी हुशार मांजरी किंवा कडक अश्लील चित्रे पाहात आहे का हे सांगू शकत नाही.मी असे म्हणेन की हे खूप छान गोपनीयता आहे. "एक सामग्री" आणि "सामग्री" हे जगातील सर्व फरक करू शकते. - एजंट_एल

आपण कदाचित ती क्षुल्लक असल्याचे कदाचित समजू शकते, किंवा कदाचित हे आता फार मोठे करार नाही परंतु वेळेत दुसर्या बिंदूवर असू शकते. मला ठाम विश्वास आहे की माझ्याव्यतिरिक्त कोणीही नाही आणि वेबसाइटने मला कळू नये की मी काय करत आहे.

तो विश्वास निर्माण करतो. ताळे ठेवल्याने सुरक्षिततेचे लक्षण आहे आणि ते वेबसाइटशी संबंधित काही प्रमाणात कौशल्य दर्शविते आणि अशा प्रकारे आपले उत्पादने.

हे ईसाठी लक्ष्य कमी करते. जी. मिटीम हल्ला. सुरक्षा वाढते.

पुढाकाराने एनक्रिप्ट करा , ज्यामुळे हे खूप सोपे झाले आणि विनामूल्य , अनेक खाली नसलेले. एसएसएल घेतलेले CPU वीज हे दिवस नगण्य आहे.

आपण HTTP / 2 समर्थन मिळवा, वेबसाइट लोडिंग गति सुधारित करण्यासाठी डिझाइन केलेले नवीन वेब मानक .

ब्राउझर निर्मात्यांनी ने HTTP / 2 केवळ HTTPS वरच समर्थन देण्यासाठी निवडले आहे (HTTPS) (HTTPS (HTTP / 2 ला समर्थन देणार्या सर्व्हरवर) सक्षम केल्यास हा वेगवान अपग्रेड मिळविण्याचा एकमेव मार्ग आहे.

(त्याच विषयासाठी माझ्या उत्तराने घेतलेले भाग. )


एचटीटीपीएस दोन गोष्टी मिळवू शकतात:

  • प्रमाणीकरण . अभ्यागत वास्तविक डोमेन मालकाशी संप्रेषण करत असल्याचे सुनिश्चित करून.
  • एन्क्रिप्शन . केवळ हे डोमेन मालक आणि अभ्यागत त्यांचे संप्रेषण वाचू शकतात हे सुनिश्चित करून.

कदाचित प्रत्येकजण सहमत आहे की गुप्तता (जसे की संकेतशब्द, बँकिंग डेटा इ.) प्रसारित करताना HTTPS अनिवार्य असायला पाहिजे.), परंतु आपल्या साइटवर अशा प्रकारच्या रहस्यांची प्रक्रिया होत नसली तरीही, काही अन्य प्रकरणे आहेत जेथे HTTPS चा उपयोग फायदेशीर ठरू शकतो.

(1 9) आक्रमणकर्त्यांनी विनंती केलेल्या सामग्रीसह छेड काढू शकत नाही.

HTTP वापरताना, eavesdroppers आपल्या अभ्यागतांना आपल्या वेबसाइटवर दिसणार्या सामग्रीस हाताळू शकतात. उदाहरणार्थ:

  • आपण डाउनलोड केलेल्या सॉफ्टवेअरमध्ये मालवेयरचा समावेश करणे (किंवा आपण कोणत्याही सॉफ्टवेअर डाउनलोड्सचे ऑफर देत नसल्यास, आक्रमणकर्ते असे करण्यास सुरुवात करतात).
  • आपली काही सामग्री सेन्सरिंग. आपले मत व्यक्त करणे बदलणे.
  • जाहिराती इंजेक्शन करणे.
  • आपल्या देणगीचा डेटा आपल्या स्वत: च्या खात्यासह बदलणे.

HTTPS हे प्रतिबंधित करू शकतात.

(1 9) आक्रमणकर्त्यांनी विनंती केलेली सामग्री वाचू शकत नाही.

HTTP वापरताना, eavesdroppers आपल्या होस्टवरील कोणती पृष्ठे / सामग्री आपल्या अभ्यागतांना प्रवेश करू शकतात ते जाणून घेऊ शकतात. जरी सामग्री स्वतःच सार्वजनिक असू शकते, एक विशिष्ट व्यक्ती ती वापरत असलेल्या ज्ञानाची समस्या समस्याग्रस्त असू शकते:

  • हे अॅप्पिंग वेक्टर उघडते सोशल इंजिनियरिंग .
  • हे गोपनीयतेचे उल्लंघन करते.
  • त्यास पर्यवेक्षण आणि शिक्षा होऊ शकते (ताबडतोब कैद, यातनामय, मृत्यू).

नक्कीच, आपल्या सामग्रीच्या स्वरूपावर हे अवलंबून असते, परंतु आपल्याला निरुपद्रवी वाटणारी सामग्री इतर पक्षांद्वारे वेगळ्या पद्धतीने दर्शविली जाऊ शकते.

दिलगीर असण्यापेक्षा अधिक सुरक्षित असणे. HTTPS हे प्रतिबंधित करू शकते.

हे मधल्या हल्ल्यांमधील व्यक्तीला प्रतिबंधित करते ज्यामुळे आपल्याला असे वाटते की आपण आपल्या साइटवर भेट देत आहात परंतु एका पृष्ठावरुन दुसरीकडे आहे आणि आपल्याकडून माहिती मिळविण्याचा प्रयत्न करू शकता. डेटा एन्क्रिप्ट केला असल्याने, आपण पाहत असताना आक्रमणकर्त्यास पृष्ठ हाताळणे हे देखील ते अधिक कठीण बनवते.

आपल्याला एका SSL प्रमाणपत्राची आवश्यकता असल्यामुळे, आपण साइटचे मालक आहात हे आपण किमान कोण आहात हे किमान कमीत कमी सत्यापन करून.

आपण SSL वापरत नसाल तेव्हा आपल्या साइटबद्दल डेटा गोळा करण्यासाठी हिताची रक्कम आयएसपीची विक्री करणारे विपणन कंपन्या

. आपल्या साइटबद्दलचा डेटा संकलित केला जातो जो आपण आपल्या प्रतिस्पर्धी लोकांना सांगू शकत नाही:

  • वापरकर्ता लोकसंख्याशास्त्र
  • अभ्यागत आकडेवारी
  • लोकप्रिय पृष्ठे
  • शोध इंजिन कीवर्ड (जरी "प्रदान केलेले नाही" हे दिवस मुदतीपेक्षा कमी आहे)

आणि, सर्व प्रश्नांसाठी आणखी एक गोष्ट जोडण्यासाठी मी फक्त विलंबाची चर्चा करणार आहे. कारण, असं दिसतंय की कोणीही याविषयी इथे लिहिलं नाही.

फास्ट-लोडिंग, रिस्पॉन्सिव्ह वेबसाइट्स तयार करण्यासाठी क्लायंट-टू-सर्व्हर HTTP लेटेंसी कमी असणे महत्त्वाचे आहे.

फक्त टीसीपी / आयपी 3-वे हँडशेक आहे (टीसीपी वरील साध्या HTTP साठी प्रारंभिक कनेक्शन सेटअपसाठी 3 पॅकेटची आवश्यकता आहे). जेव्हा एसएसएल / टीएलएस वापरला जातो, तेव्हा कनेक्शन सेटअप अधिक गुंतलेला असतो, म्हणजेच नवीन HTTPS कनेक्शनसाठी विलंबता साध्या पाठ HTTP पेक्षा जास्त अनावश्यकपणे जास्त आहे.

HTTP सह समस्या हे सुरक्षित नाही आहे. म्हणून आपल्याकडे संवेदनशील डेटा असल्यास, आपल्याला काही सुरक्षिततेची आवश्यकता आहे. जेव्हा आपण "https" सह सुरूवात करता तेव्हा आपल्या वेब ब्राउझरमध्ये काहीतरी टाइप करता, तेव्हा आपण आपल्या ब्राउझरला ट्रॅफिक संरक्षित करण्यासाठी एन्क्रिप्शन स्तर वापरण्याबद्दल विचारत आहात. हे चोरुन पळणारे व्यक्तींविरूद्ध वाजवी संरक्षण प्रदान करते, परंतु समस्या अशी आहे की हे हळु असेल. आम्ही आमच्या वाहतूक कूटबद्ध करू इच्छित असल्याने, काही गणना केली जाईल, जे वेळ जोडते. याचा अर्थ असा की जर आपण आपली प्रणाली योग्य रितीने तयार केली नाही तर आपली वेबसाइट वापरकर्त्यांना सुस्त होईल.

या निष्कर्षापर्यंत:

माझ्याकडे एक मोठ्या सामग्री-केवळ साइट आहे; लॉगिन किंवा लॉगआउट नाही, कोणतेही वापरकर्तानावे,नाही ईमेल पत्ते, नाही सुरक्षित क्षेत्र, साइटवर काहीही गुप्त, नादा. लोक फक्त साइटवर येतात आणि पृष्ठावरुन जातात आणि पाहतातसामग्री.

असे असल्यास, मी एसएसएल वापरू नये. जेव्हा आपण एका सेकंदापर्यंत उघडता तेव्हा मला क्लिक करा. ते वापरकर्ता अनुभव आहे. आपण आपल्या इच्छेप्रमाणे वागतो, मी सर्व काही मी प्रमाणपत्रे देत नाही. या विशिष्ट बाबतीत, मी ते सर्व वापरू शकणार नाही.

इतरांद्वारे नमूद केलेल्या फायद्यांव्यतिरिक्त एक कारण आहे जो आपल्याला SSL वर स्विच करेल जोपर्यंत आपण आपल्या अभ्यागतांची काळजी घेत नाही जो Chrome वापरतो - Chrome च्या नवीन आवृत्त्या (वर्ष अखेरीपासून सुरू झाल्यापासून लक्षात ठेवा) HTTPS वापरत नसलेल्या सर्व साइटसाठी डिफॉल्टद्वारे एक चेतावणी (जी आपल्या साइटवरून वापरकर्त्यांना काढून टाकेल) दर्शविणार आहेत.

// संपादनी:

इथे आणखी दोन सविस्तर लेख लिंक्स आहेत, परंतु जेव्हा मी आत्ता अधिकृतपणे या वैशिष्ट्याचा परिचय देण्याचा विचार करत आहे त्याबद्दल मी वाचलेले एखादे वाचू शकत नाही:

https: // मदरबोर्ड. उपाध्यक्ष. com / read / google-will-soon-shame-all-websites-त्या-आहेत-विना-एनक्रिप्टेड-क्रोम-https

http: // www. पांडित्यता. com / mediacenter / security / websites-not-use-https /

साध्या उत्तर म्हणजे चांगले कारण नसलेले . भूतकाळात फक्त एसएसएल वापरण्याबद्दलची आर्ग्युमेंट्स होती जिथे पूर्णपणे आवश्यक (e. जी. पैसे भरण्याची ईकॉमर्स साइट्सवर).

हे मुख्यत्वे SSL प्रमाणपत्र, खर्च, वेबसर्व्हरवरील अतिरिक्त भार आणि नेटवर्कची मर्यादा यांच्याकरिता अधिष्ठापनेच्या प्रक्रियेसह होते - ज्या वेळी लोकांनी ब्रॉडबँड नसला तरी. यापैकी कोणतेही कारण खरोखरच 2016 मध्ये लागू नाही.

एसइओच्या दृष्टीने, आम्हाला माहित आहे की बहुतेक शोध यंत्रांचा उद्देश त्यांच्या वापरकर्त्यांसाठी सर्वोत्तम परिणाम प्रदान करणे आहे आणि हे त्यांना ब्राउझ केलेल्या साइटवर एक सुरक्षित कनेक्शन देऊन केले जाऊ शकते.या संदर्भात सर्च इंजिन्स साइटवर "संवेदनशील" डेटा आहे (एकतर सादर केली जात आहे किंवा संग्रहित केली आहे), याची काळजी नाही; हे फक्त असे आहे की जर साइट HTTPS वर चालविली गेली असेल तर प्रमाणीकरण आणि एन्क्रिप्शनच्या कोणत्याही संभाव्य जोखीम मोठ्या प्रमाणात कमी केल्या जातात, त्यामुळे साइट HTTPS शिवाय समकक्ष साइटपेक्षा "चांगले" मानली जाईल.

मूलत :, अंमलात आणणे हे अगदी सोपे आणि सोपे आहे, आजकाल फक्त सर्वोत्तम सराव म्हणून पाहिले आहे. एक वेब डेव्हलपर म्हणून, मी फक्त एक SSL प्रमाणपत्र स्थापित करण्याचा विचार करतो आणि नंतर HTTPS वरून सर्व विनंत्यांची सक्ती करतो (वापरुन फार सोपे. htaccess किंवा समतुल्य) मी बांधणी कोणत्याही साइट किंवा वेब अनुप्रयोग एक मानक भाग असल्याचे.

इतर उत्तरांव्यतिरिक्त, ब्राउझर (RFC 2119 प्रमाणे) वापरकर्ता-एजंट शीर्षलेख पाठवावे. वास्तविक वापरकर्त्याने वापरकर्ता-एजंट पाठविल्यास ते कोणते व्यासपीठ वापरत आहे याबद्दल पुरेशी माहिती प्रदान करते.अॅलिसने केलेल्या विनंतीवरून हव्ह अचूक निश्चिंत राहू शकतो आणि अॅलिस वापरकर्ता-एजंट पाठवतो, तर ईव्हला हे कळेल की अॅलिसच्या वापरातून कोणत्या प्लॅटफॉर्मवर एचईव्हीच्या सर्व्हरशी जोडणी करता येईल. अशा ज्ञानासह अॅलिसच्या संगणकात प्रवेश करणे सोपे होईल.

आपल्या मुख्य डोमेन सुरक्षित करण्यासाठी आपल्याकडे दोन पर्याय आहेत (mysite. कॉम) आणि त्याचे उपडोमेन (प्ले करा. mysite. कॉम आणि टेस्ट. mysite. कॉम). एसएसएल केवळ ईकॉमर्ससाठी नाही, पेमेंट मर्चंट साइट्सवर आहे जेथे आर्थिक व्यवहार किंवा लॉगिन क्रेडेन्शियल वेबसाइटवर सामायिक केले जातात. हे सामग्री-आधारित वेबसाइटसाठी तितकेच महत्त्वाचे आहे. आक्रमणकर्ते नेहमी वेबसाइटवर साधा HTTP वेबसाइट किंवा प्रतिबंध शोधतात. एसएसएल केवळ सुरक्षा प्रदान करीत नाही तर आपल्या वेबसाइटचे प्रमाणीकरण देखील करते. सामग्री-आधारित वेबसाइटवर SSL असण्याचा मुख्य लाभ म्हणजे,

  • आपण साइटवर सामग्री बदलू शकता की मनुष्य इन-मध्यम हल्ला टाळू शकतो.

  • याव्यतिरिक्त, आपल्या वेबसाइटवर सत्यता असेल जे अभ्यागतांना सूचित करेल की त्यांनी वेबसाइटसह सामायिक केल्यास त्यांची माहिती सुरक्षित केली जाईल.

  • त्यांना वेबसाइट अधिकृततेबद्दल आश्वासन मिळते.

  • शिवाय, आपल्या वेबसाइटवरील SSL वर एकदाच, आपल्या वेबसाइटवर दुर्भावनापूर्ण जाहिराती, शोषण, अवांछित विजेट्स, सॉफ्टवेअर पुनर्स्थित करणे आणि हानीकारक गोष्टींचा इंजेक्शन मुक्त राहील.

  • SSL प्रमाणपत्र हमीसाठी कोणत्याही वेब पृष्ठावर ठेवता येऊ शकणारे स्टॅटिक साइट सील ऑफर करते आणि ग्राहक स्थापित SSL प्रमाणपत्रांचे तपशील जाणून घेण्यासाठी सीलवर क्लिक करू शकतात.

इतर उत्तरे HTTPS च्या फायद्यांबद्दल बोलल्या. एखादी वापरकर्ता HTTPS वापरण्यासाठी सक्ती करेल ? दोन कारणांसाठी:

  • जर आपण प्रयोक्त्यांना HTTPS चा वापर न करण्याचा पर्याय दिला, तर कदाचित ते अॅड्रेस बारमध्ये एक डोमेन टाईप करताना बहुतांश ब्राउझर http: // आणि https: // नसतात, विशेषत: नसतील.
  • एक सुरक्षित आवृत्ती आणि एक असुरक्षित आवृत्ती दोन्ही अंमलबजावणी करून, आपण कनेक्शन हल्ला पृष्ठभाग वाढ. आपण आक्रमणकर्त्यांना डाउनग्रेड आक्रमण करण्याची संधी देऊ शकता जरी आपण असे समजता की आपण सुरक्षित आवृत्ती वापरत आहात.
  • आपण जर प्रत्येक http: // URL समतुल्य https: // वर पुनर्निर्देशित केल्यास तो सर्व्हरच्या प्रशासनासाठी आणि शोध इंजिनांसाठी जीवन सोपे करतो.कोणालाही http: // आणि https: // हे संपूर्णपणे भिन्न गोष्टींपर्यंत निर्देशित केले गेले आहे की नाही याबद्दल काळजी करण्याची गरज नाही, एक ते दुसर्याकडे पुनर्निर्देशित करण्याद्वारे हे स्पष्ट होते की कोणत्या URL वापरायचे आहेत.