Answers:
有趣的问题。但是,显而易见的答案是,如果我可以使用浏览器获得一个网站,那么NSA也可以。我不是想成为一个聪明人。SSL应该用于帐户登录,付款等。作为正常的工作过程,没有必要。
话虽如此,我确实比这个答案所暗示的更多地支持SSL。如果您是博客作者,那么我不会使用SSL。如果您说的是即使在某些情况下也希望保密的内容,则不应发布或将其放在登录名后面以更好地控制谁可以看到它。
请记住,网络是开放的通讯工具。它是为此而设计的。专用通信工具与谁连接并与谁共享信息并不混杂,并且经常部署许多安全方案以确保安全的通信。Web旨在与任何客户端轻松且匿名地连接,并共享其拥有的全部或几乎所有信息。是的,有一些方法可以确保网络通信的安全,但是由于其本质,将始终受到限制。
HTTPS可以实现三件事:
大概每个人都同意,在传输秘密(例如密码,银行数据等)时,HTTPS应该是强制性的。
但是,在其他几种情况下,为什么使用HTTPS以及为何有益:
使用HTTP时,窃听者可以操纵访问者在您的网站上看到的内容。例如:
当然,这也适用于您的用户发送的内容,例如Wiki编辑。但是,如果您的用户是匿名用户,则无论如何攻击者都可以“模拟”为用户(除非攻击者是机器人,并且存在一些有效的验证码障碍)。
使用HTTP时,窃听者可以知道访问者可以访问主机上的哪些页面/内容。尽管内容本身可能是公开的,但是特定人消费的知识是有问题的:
当然,这也适用于您的用户发送的内容,例如通过联系表发送的邮件。
综上所述,仅提供除HTTP之外的 HTTPS 只会保护检查(或本地实施,例如使用HSTS)使用其的用户。攻击者可能强迫所有其他访客使用(脆弱的)HTTP变体。
因此,如果您得出要提供HTTPS的结论,则可能需要考虑实施它(从HTTP到HTTPS的服务器端重定向,发送HSTS标头)。
由于您的内容是公开的,因此HTTPS显然不会隐藏它,但是根据您网站的性质,它可能会带来一些好处。
当某人通过HTTPS请求页面时,该请求将被加密,因此,如果某人在监视您的访问者,他们将不知道他们请求了哪些页面。不幸的是,DNS(用于根据您的网站域名获取IP地址的系统)未加密,因此观察者仍然可以识别谁访问了您的网站。即使已将其加密,在大多数情况下,您仍然可以根据IP地址判断某人正在访问哪个网站,而这不能隐藏在Internet当前的设计中。
Wikipedia提供HTTPS,您可能会认为这是毫无意义的,因为内容是公开的,但是这样做可以保护用户:如果有人在Wikipedia上(使用HTTPS)查找“非爱国”内容,则他们的政府无法告知他们正在阅读,只是他们在Wikipedia上。Twitter是内容本身是公开的另一种情况,但是人们并不一定希望其他人知道他们在做什么。
您可能要考虑使用HTTPS的另一个主要原因是,如果您有任何登录页面或其他可以接受用户(包括您自己)的私人数据的地方。如果您根本不支持HTTPS,则密码和其他信息将以“明文”方式发送,并且任何能够读取网络数据的人都可以看到它们(可怕的情况是以前与您位于同一wifi网络上的其他人;现在它还包括寻找勒索材料的各种政府机构。
如果您仅在登录页面上支持HTTPS,但不支持其他任何位置,那么聪明的攻击者将拦截除登录页面之外的所有页面,并将“登录”链接更改为不使用HTTPS,然后拦截您的通信(如果您强制该页面,到HTTPS,他们就可以拦截流量并提供有效的伪造版本)。您可以通过在登录之前始终检查URL栏中的锁定图标来防止这种情况的发生,但是几乎没人记得每次都这样做。
我在很大程度上同意Closetnoc的观点,但是还有一个要点被忽略了:Tor用户需要SSL版本以防止出口节点被窃听。
如果您怀疑任何读者使用Tor,那么从实践角度出发,应该启用SSL。
同样,在Max Reid的观点上,+ 1:至少,您可以帮助规范非关键流量的加密使用,从而增加了情报机构为识别所需数据包而需要付出的努力。
除了SSL本身的成本之外,没有真正的理由不这样做。
对于典型的 Web服务器部署,SSL几乎不会增加开销。
对于使加密成为强制性的http 2.0标准,有一些讨论:http : //beta.slashdot.org/story/194289