Một tuần trước Google đã gửi cho tôi một email để đi HTTPS. Nếu tôi sẽ không chuyển HTTP sang HTTPS thì nó sẽ hiển thị kết nối của tôi không được bảo mật cho tất cả khách truy cập trang web của tôi, những người sẽ cố gắng nhập văn bản trong trang web của tôi.

Không sử dụng SSL, có cách nào khác để bảo mật kết nối của tôi không? Vì nó liên quan đến quá trình tốn kém để sử dụng SSL trong URL web, tôi đang tìm kiếm bất kỳ tùy chọn nào khác thay thế.

Có cách nào khác để làm cho kết nối của tôi được bảo mật?

Google không chỉ phàn nàn về "bảo mật" (có thể bao gồm một số chủ đề khác nhau), mà cụ thể là nhắm mục tiêu mã hóa / HTTPS. Với HTTP đơn giản, kết nối giữa máy khách và máy chủ không được mã hóa, cho phép mọi người có thể nhìn thấy và chặn mọi thứ được gửi. Thông thường sẽ chỉ nhắc với điều này nếu bạn cho phép người dùng đăng nhập (ví dụ: gửi tên người dùng / mật khẩu) hoặc gửi thông tin thanh toán qua kết nối không được mã hóa. Việc gửi biểu mẫu "văn bản" chung không nhất thiết là một vấn đề. Tuy nhiên, như @Kevin đã chỉ ra trong các nhận xét, Google / Chrome có kế hoạch mở rộng điều này trong tương lai :

Cuối cùng, chúng tôi dự định gắn nhãn tất cả các trang HTTP là không an toàn và thay đổi chỉ báo bảo mật HTTP thành hình tam giác màu đỏ mà chúng tôi sử dụng cho HTTPS bị hỏng.

Cài đặt chứng chỉ SSL trên trang web của bạn (hoặc sử dụng proxy phía trước như Cloudflare để xử lý SLL) là cách duy nhất để mã hóa lưu lượng truy cập đến trang web của bạn.

Tuy nhiên, điều này không nhất thiết là một "quá trình tốn kém" những ngày này. Cloudflare có tùy chọn "miễn phí" và Let Encrypt là Cơ quan cấp chứng chỉ miễn phí mà nhiều máy chủ hỗ trợ theo mặc định.

Tôi không khuyến nghị, nhưng bạn có thể bỏ qua thông báo này, bằng cách không sử dụng các trường văn bản đầu vào ban đầu. Bạn có thể tạo các trường đầu vào của riêng bạn, sử dụng thường xuyên divcó onkeypresssự kiện. Hoặc bạn có thể tạo một divphần tử có contenteditablethuộc tính được đặt thành true.

Bằng cách này, người dùng sẽ có thể nhập thông tin trên trang web của bạn mà không cần sử dụng inputcác yếu tố thẻ.

Nếu bạn chỉ đang phục vụ các tệp tĩnh hoặc có thể đặt proxy ở phía trước, bạn có thể sử dụng máy chủ như máy chủ caddy xử lý tất cả những điều này cho bạn bằng cách sử dụng mã hóa, điều này sẽ giúp bạn thoát khỏi chứng chỉ cung cấp và bạn không phải cài đặt bất kỳ phần mềm nào khác

Ngoài ra, bạn có thể sử dụng một dịch vụ như cloudflare - gói miễn phí của họ cung cấp https miễn phí.

Cuối cùng, một số máy chủ cung cấp certs https miễn phí ngay bây giờ, bao gồm cả dreamhost . Vì vậy, kiểm tra nếu máy chủ hiện tại của bạn cung cấp điều này như là một tùy chọn.

Tôi không khuyên bạn nên cố gắng tìm một cách giải quyết, chỉ có một cách để làm cho trang web của bạn an toàn và cuối cùng các trình duyệt sẽ cảnh báo trên mọi trang web không có https, bất kể nội dung là gì. Web đang hướng tới https ở mọi nơi.

không ai khác dường như đã đề cập đến,

nếu bạn sở hữu mọi máy kết nối với trang web của bạn

, giống như cài đặt của công ty, bạn có thể tạo cơ quan cấp chứng chỉ của riêng mình, cài đặt chứng chỉ công khai vào tất cả các máy (trên tất cả các trình duyệt và cửa hàng chứng chỉ) kết nối với trang web của bạn. tùy chọn này không có khả năng kiếm tiền của bên thứ ba; Đó là cùng một loại mật mã mã hóa, bạn không được đăng nhập vào lòng tin của công chúng (ví dụ: quyền hạn của bạn không được nhận ra bởi Chrome của Chrome, Firefox của Mozilla, v.v. .

thừa nhận rằng các thỏa thuận thiết lập một cơ quan cấp chứng chỉ là hơi khó hiểu và việc bảo trì có thể rất nhiều công việc - vì vậy tôi sẽ bỏ chúng ở đây, có lẽ bạn nên thực hiện một nghiên cứu sâu về chủ đề bạn thực sự quan tâm Trong cách tiếp cận này.

mặc dù để triển khai nhanh, nếu bạn có thể thử XCA

• Đối với Debian: https://packages.debian.org/stretch/xca
• trang web chính thức: http://xca.sourceforge.net/

XCS là một cách tốt để phát hành certs cho các triển khai nhỏ và bao gồm tài liệu trợ giúp đi qua toàn bộ thiết lập.

Tôi có một vài ý tưởng.

Nếu lý do cho HTTPS là để quản lý thông tin đăng nhập, thì bạn có thể giảm thiểu hiệu ứng trên tất cả các trình duyệt bằng cách cung cấp cho người dùng đăng nhập. Sau đó, khi người dùng đăng nhập, cookie có thể được lưu trữ vĩnh viễn trên máy tính của người dùng để lần sau người dùng sử dụng bật máy tính của anh ấy để truy cập trang web, anh ấy sẽ tự động đăng nhập thay vì luôn luôn xuất hiện với lời nhắc đăng nhập và có thể là cảnh báo bảo mật.

Một ý tưởng khác có thể bỏ qua tin nhắn nhưng sẽ hiệu quả hơn trên cả máy khách và máy chủ là để khách tải lên một tệp đặc biệt với cấu hình phù hợp được mã hóa. Ví dụ: đối với màn hình đăng nhập, thay vì yêu cầu người dùng nhập tên người dùng và mật khẩu của mình vào hai hộp văn bản, hãy để người dùng tải lên một tệp nhỏ chứa tên người dùng và mật khẩu được mã hóa (ví dụ: nén tên người dùng và mật khẩu dưới dạng zip tệp có mức nén cụ thể) sau đó máy chủ có thể giải mã tệp để trích xuất tên người dùng và mật khẩu. Tin tặc tiềm năng sẽ thấy vô nghĩa khi quá cảnh khi người dùng gửi tệp đến máy chủ. Chỉ có một lợi thế nhỏ cho ý tưởng này là tốc độ kết nối nhanh hơn một chút vì quá trình xử lý kết nối SSL không diễn ra trong HTTP.

Không.

Bất kỳ hack nào bạn thử (ví dụ như cố gắng mã hóa bằng javascript), rất khó có khả năng gần như an toàn.

SSL không phải "đắt", nhiều nhà cung cấp dịch vụ lưu trữ cung cấp miễn phí. Và thậm chí những thứ như cloudflare cung cấp SSL miễn phí và giữ lưu trữ hiện tại.

Một giải pháp nhanh chóng, miễn phí là Let Encrypt. Liên kết Họ có tài liệu cho gần như mọi hệ điều hành máy chủ. Chúng tôi sử dụng nó tại nơi làm việc của chúng tôi và các nhà cung cấp W2P của chúng tôi sử dụng nó để bảo mật cho mỗi mặt tiền cửa hàng của chúng tôi.