Warum versorge ich nicht nur https?
Die Hauptgründe sind das Standardverhalten von Browsern und die Abwärtskompatibilität .
Standardverhalten
Wenn ein Endbenutzer (dh ohne Kenntnisse über Protokolle oder Sicherheit) die Website-Adresse in seinen Browser eingibt, verwendet der Browser standardmäßig HTTP. Weitere Informationen dazu, warum Browser dieses Verhalten wählen, finden Sie unter dieser Frage.
Daher ist es wahrscheinlich, dass Benutzer nicht auf Ihre Website zugreifen können.
Abwärtskompatibilität
Es ist möglich, dass einige Benutzer mit alten Systemen und alten Browsern HTTPS nicht unterstützen oder eher nicht über eine aktuelle Datenbank mit Stammzertifikaten verfügen oder unterstützen einige Protokolle nicht.
In diesem Fall können sie entweder nicht auf die Website zugreifen oder erhalten eine Sicherheitswarnung. Sie müssen definieren, ob die Sicherheit Ihrer Endbenutzer wichtig genug ist, um HTTPS zu erzwingen.
Viele Websites hören weiterhin HTTP, leiten jedoch automatisch zu HTTPS um und ignorieren Benutzer mit wirklich alt Browser.
könnte jemand http://www.example.com fälschen, wenn ich HSTS nicht einrichte?
Wenn ein Angreifer http://www.example.com
fälschen möchte, muss er die Kontrolle über die Domain oder auf irgendeine Weise die Kontrolle über die IP-Adresse übernehmen.
Ich nehme an, Sie meinten: Könnte ein Angreifer einen Man-in-the-Middle-Angriff ausführen?
In diesem Fall ja, aber auch mit oder ohne HSTS:
-
Ohne HSTS : Ein Angreifer kann sich leicht in der Mitte Ihres Servers und des Benutzers befinden und aktiv (dh den Inhalt ändern) oder passiv (dh belauschen)
li sein > -
Mit HSTS : Wenn ein Benutzer zum ersten Mal versucht, die Site über HTTP zu besuchen, kann ein Angreifer den Benutzer zur Verwendung von HTTP zwingen. Der Angreifer hat jedoch ein begrenztes Zeitfenster, in dem er seinen Angriff ausführen kann.
Was sollten Sie tun?
Wie bei vielen Websites sollten Sie HTTP-Verbindungen zulassen und Ihren Server dazu bringen, den Benutzer zur HTTPS-Version umzuleiten. Auf diese Weise überschreiben Sie das Standardverhalten von Browsern und stellen sicher, dass Ihre Benutzer die HTTPS-Version verwenden.
Alte Systeme ohne die richtigen Protokolle oder Stammzertifikate können nicht auf die Site zugreifen (oder haben zumindest eine Warnung ), aber abhängig von Ihrer Benutzerbasis sollte dies kein Problem sein.
Schlussfolgerung
Das Deaktivieren von HTTP kann mehr schaden als nützen. Es bietet nicht wirklich mehr Sicherheit.
Jede zum Schutz einer Ressource hinzugefügte Sicherheit ist nutzlos, wenn die meisten Benutzer nicht darauf zugreifen können. Wenn Ihre Endbenutzer nicht auf Ihre Website zugreifen können, weil ihr Browser standardmäßig HTTP verwendet und Sie nicht auf HTTP-Verbindungen warten, was ist der Vorteil?
Führen Sie einfach die HTTP 301-Umleitung zur HTTPS-Version durch. P. >
Verwandte Fragen