Es verhindert, dass der ISP seine eigenen Anzeigen anstelle Ihrer eigenen einfügt. Wenn Sie sich auf Werbung für Einnahmen verlassen, schützt https Ihre Einnahmequelle.

Sie haben ein paar gute Fragen und ein paar Missverständnisse. Versuchen wir, sie zu entwirren.

Ich habe auch eine Vorstellung von anderen Vorteilen (z. B. Geschwindigkeitsvorteilen von HTTP / 2).

Ein weiterer wichtiger Punkt Erstens: Suchmaschinenoptimierung, da Sie GooglePoints für TLS erhalten. (Das nährt Ihren Standpunkt, dass Webmaster externe Anreize benötigen ...)

Ich nehme an, weil ich auch wissen würde, dass der Client, mit dem ich Geschäfte abwickle, zertifiziert ist und Informationen, die ich ihnen sende ist verschlüsselt. ... Aber kann kein Kunde mit selbstsignierten Zertifikaten auf meine Website zugreifen?

Ja und nein und ja, ... und nein. Lassen Sie uns dies entwirren.

TLS-Clientauthentifizierung (bei der Clients Zertifikate vorlegen müssen) wird normalerweise auf VPN-Servern, WPA2-WLAN-Zugangspunkten für Unternehmen und Unternehmensintranets angezeigt. Dies sind alles geschlossene Systeme, in denen der Systemadministrator die volle Kontrolle über die Ausstellung von Zertifikaten an Benutzer hat und diese verwenden, um zu steuern, welche Benutzer Zugriff auf welche Ressourcen haben. Dies macht in einer öffentlichen Website-Einstellung keinen Sinn und ist definitiv eine nicht standardmäßige Konfiguration für einen HTTPS-Webserver.

Das heißt, Sie erhalten Folgendes:

  Verschlüsselte TLS-Sitzung | Client lädt Anmeldeseite | Client sendet Benutzername / Passwort | Der Client führt "eingeloggte Dinge" aus.  

Sie gewinnen also zusätzliches Vertrauen, dass der Benutzer der ist, für den er sich ausgibt, da der Benutzername / das Kennwort nicht mehr im Klartext gesendet wird und daher nicht mehr möglich ist für einen Mann in der Mitte zum Abfangen / Ändern / Stehlen.

Danach werden alle Daten, die der Client an den Server sendet oder vom Server erhält, durchgehend mit dem Client verschlüsselt. Im Allgemeinen haben Sie Recht: Dies schützt den Client mehr als den Server, verhindert jedoch, dass Man-in-the-Middles böswilliges Material in Dateien injiziert, die der Benutzer hochlädt, und schädliche Befehle injiziert, die so ausgeführt werden, als ob sie von diesem Benutzer stammen .

Aber kann kein Kunde unethisch handeln und mit selbstsignierten Zertifikaten usw. auf meine Website zugreifen und behaupten, wer immer er möchte?

Ein bisschen, ja. Für eine öffentliche Website kann jeder eine TLS-Verbindung öffnen. Wenn Benutzer sich authentifizieren sollen, muss ein Anmeldemechanismus vorhanden sein. TLS bietet diesen im Allgemeinen nicht für Sie an (es sei denn, Sie verwenden den oben genannten Client-Zertifizierungsmechanismus).

Aber ich habe mich kürzlich gefragt, ob die Website in ähnlicher Weise von dieser Transaktion profitiert.

Grundsätzlich sind die Vorteile für den Server, dass alle an den Benutzer gesendeten Daten Nur vom vorgesehenen Benutzer angezeigt werden. Wenn Sie ihnen beispielsweise Kopien ihres Jahresabschlusses zusenden, freuen sich Ihre Anwälte sehr darüber. Dies bedeutet auch, dass alle vom Benutzer empfangenen Daten tatsächlich von diesem Benutzer stammen und nicht von einem Angreifer, der vorgibt, sie zu sein.

Wenn Ihre legitimen Benutzer böswillig handeln, ist dies ein anderes Problem. Schließlich haben Sie ausgewählt, um ihnen Zugriff auf das System zu gewähren. TLS (+ Ihr eigenes Login-Framework) stellt sicher, dass nur legitime Benutzer Zugriff haben. Was sie mit diesem Zugriff machen, ist nicht das Problem von TLS.

Einer der größten Vorteile für einen Website-Betreiber ist das erhöhte Vertrauen der Benutzer . Wir hoffen oft, dass sie das Vorhandensein von HTTPS überprüfen, bevor sie beispielsweise Kreditkartendaten in eine E-Commerce-Website eingeben, und das "grüne Schloss" eines EV-Zertifikats bietet eine zusätzliche Bestätigung, dass die Website von dem Unternehmen betrieben wird, für das sie sich ausgeben

Wie groß der Effekt ist, weiß ich nicht. Das Stanford Web Credibility-Projekt enthält eine Sammlung von Empfehlungen, um eine Website glaubwürdig erscheinen zu lassen, und HTTPS wird nicht in der Liste angezeigt. Die dort zitierten Papiere sind zu diesem Zeitpunkt jedoch alle 15 bis 20 Jahre alt. In der Technologie hat sich damals viel geändert, aber die eigentliche Frage ist, wie sehr sich Menschen verändert haben.

HTTPS schützt den Transport nur vor Schnüffeln oder Ändern, d. h. vor einem Angreifer zwischen Client und Server, nicht jedoch vor einem Angreifer auf dem Server oder Client selbst. Es macht weder den Server selbst auf magische Weise sicherer, noch macht es den Client für den Server vertrauenswürdiger. Dies bedeutet, dass ein HTTPS-geschützter Server beispielsweise Malware bereitstellen kann und ein Client, der eine Verbindung zu HTTPS herstellt, weiterhin Sicherheitsprobleme auf der Serverseite wie SQL-Injection oder ähnliches ausnutzen kann.

Viele Browser (Firefox tut dies sehr deutlich) warnen Benutzer davor, ihre Passwörter auf nicht sicheren Websites einzugeben. Websitebesitzer möchten natürlich nicht, dass ihre Benutzer diese großen, beängstigenden Warnungen sehen (was im Fall von Firefox auch die Verwendung automatisch ausgefüllter Anmeldedaten schwierig macht), und die Sicherung ihrer Websites ist der einzige Weg, sie loszuwerden.

Wenn sich Benutzer auf der Website anmelden können, besteht ein starker Anreiz, die Sicherheit zu erhöhen. Dies ist ein externer Anreiz, der von Browser-Anbietern erzwungen wird.

Ein Standard-SSL-Setup bietet dem Server per se keinen Sicherheitsvorteil. Sie wissen, dass der Datenverkehr zwei und von dem Endpunkt, der die verschlüsselte Anforderung gestellt hat, während der Übertragung nicht manipuliert wurde, aber es gibt keine Garantie dafür, dass der Endpunkt, der die Anforderung gestellt hat, nicht als MITM dient.

Es ist möglich, SSL so zu konfigurieren, dass Sie die Clients überprüfen können. Bei den meisten Webservern (Apache, Nginx, IIS usw.) können Sie Clientzertifikat-basierte Authentifizierungen einrichten. Dies bedeutet, dass jeder Client, der auf die Website zugreift, über ein eigenes eindeutiges Zertifikat verfügt und der Webserver keine Seiten für einen Client bereitstellt, der hat kein gültiges Zertifikat. Das Verteilen und Verwalten der Client-Zertifikate ist mit einem hohen Aufwand verbunden. Daher wird diese Art der Einrichtung normalerweise nur in Umgebungen mit einer begrenzten Anzahl von Clients durchgeführt, z. B. Intranet-Apps, APIs mit einer kleinen Anzahl von Benutzern usw.

Bisher gute Antworten Ich möchte nur Folgendes hinzufügen:

Nicht jede TLS (ältere SLL) hat dieselbe Sicherheitsstufe, daher ist es gut, sie mit https: //www.ssllabs zu vergleichen. com / ssltest /.

Und TLSv3 weist einige Sicherheitslücken auf. Fordern Sie daher die Deaktivierung in der Serverkonfiguration an.

Ich werde nicht sagen, dass TLS im Vergleich zu MitM as kugelsicher ist Wir wissen, dass SSL-Stripping und HSTS-Bypass möglich sind, aber es ist für einen Angreifer viel schwieriger, dies zu tun, da er sich im selben Netzwerk wie der Benutzer befinden muss.

Der größte Vorteil neben der sicheren Kommunikation besteht darin, dass Sie ihn erhalten Besseres Google SEO-Ranking, da Websites mit TLS leichter nach oben gelangen, wie hier angegeben http://searchengineland.com/google-starts-giving-ranking-boost-secure-httpsssl-sites-199446.

Als Unternehmen hat der Endbenutzer, wenn er die Sperre im Webbrowser sieht, ein sichereres Gefühl. Ich weiß, dass es ein bisschen dumm ist, da ich viele statische Websites mit TLS / HTTPS eingerichtet habe, auf denen keine Daten vom Server übertragen wurden oder zum Server, aber aus Gründen der SEO und der Endbenutzererfahrung .

Um hier Devil's Advocate zu spielen, aktivieren Sie TLS auf Ihrem Webserver, wenn Sie es nicht benötigen (dh es werden keine vertraulichen Informationen zwischen Server und Client übertragen) kann die Sicherheit tatsächlich verringern .

Aus dem einfachen Grund: Es fügt viel mehr Code hinzu, und mehr Code bedeutet mehr Fehler und eine größere Angriffsfläche. Es kann also zu Problemen wie Heartbleed, Remotecodeausführung und anderen Problemen kommen, die Sie sonst nicht hätten.

Natürlich ist das Problem umstritten - es gibt ziemlich sicher viel mehr Fehler in dem Code, in dem Ihr dynamisches Web ausgeführt wird, als in der TLS-Bibliothek Ihres Webservers. Wenn Sie also keinen sehr kleinen geprüften HTTP-Server mit nur statischem Inhalt ausführen, ist die Sicherheitsminderung wahrscheinlich vernachlässigbar.

Und HTTPS ( Abgesehen davon, dass Sie eine gute Suchmaschinenoptimierung für Google und Freunde sind, können Sie sich vor einigen Übeln wie MitM-Angriffen schützen (andererseits ist es aufgrund von Fehlern mit dem HTTPS-CA-Modell meistens "Wohlfühlen", "Sicherheit" wie Sie Ich bin gezwungen, Dutzenden von Zertifizierungsstellen zu "vertrauen", denen Sie absolut keinen Grund haben, überhaupt zu vertrauen)

Der Nutzen für den Websitebesitzer? Ihre Benutzer sind sicherer. Andere Websitebesitzer haben keinen wirklichen Vorteil, und deshalb verfügen viele Websites immer noch nicht über HTTPS / SSL (da das Einrichten von HTTP / SSL tatsächlich Arbeit erfordert, von der der Websitebesitzer keinen direkten Nutzen sieht).

Die Sicherheit der Benutzer sollte für Websitebesitzer die wichtigste Priorität sein, ist dies aber leider häufig nicht.

SSL stellt sicher, dass Menschen nicht (leicht) vorgeben können, Sie zu sein. Das ist ein Plus. Wenn Sie mit personenbezogenen Daten (PII) arbeiten, bietet SSL zusätzliche Sicherheit, um zu verhindern, dass jemand die Informationen Ihres Kunden stiehlt. In vielen Ländern sind Sie gesetzlich verpflichtet, Maßnahmen zum Schutz der personenbezogenen Daten Ihrer Kunden zu ergreifen, und SSL ist eine der Möglichkeiten, wie Sie dies tun können.

Wenn Sie möchten, dass Ihre Website über Google gefunden wird, hat SSL den zusätzlichen Vorteil, dass Sie in den Suchergebnissen höher sind, wenn auch nur geringfügig.

Wie andere bereits betont haben, erhöht SSL (oder TLS) das Vertrauen Ihrer Benutzer .

Unbounce zitierte dies in einem kürzlich veröffentlichten Blog-Artikel:

Wie GlobalSign, ein Anbieter von Web-Trust-Zertifikaten, feststellte, 84% von Die befragten Website-Besucher sagten, sie würden einen Kauf abbrechen , wenn sie wüssten, dass die Daten über eine unsichere Verbindung gesendet werden.

Tatsächlich wirkt sich dies jetzt direkter auf Geschäftsinhaber aus: Google Chrome hat damit begonnen, Nicht-SSL-Websites als "nicht sicher" zu markieren.

SSL / TLS wird reduziert Haftung gegenüber dem Websitebesitzer . Der Verkehr kann nicht leicht gefälscht oder abgefangen werden. Ihre streitigeren Kunden haben keinen Grund, Sie wegen Nachlässigkeit zu verklagen.

Sie erhalten einen SEO-Schub in wichtigen Suchmaschinen , einschließlich Google. Siehe https://moz.com/blog/seo-tips-https-ssl

Es kostet nicht viel . Mit Anbietern wie letsencrypt und AWS Certificate Manager sind kostenlose SSL / TLS-Zertifikate einfacher als je zuvor einzurichten