首页>安全资讯>听说你在做新年计划?如何说服老板启用全站HTTPS

听说你在做新年计划?如何说服老板启用全站HTTPS

网站没有HTTPS加密,用户将在密码输入框输入密码,在网站进行敏感操作,攻击者可以窃听网络中所有来回发送的敏感数据。网站前端开发人员花费大量的金钱、时间和精力打造完美的用户体验,但有一些ISP或WiFi提供商或一些其他中介,却在网络上注入烦人的弹窗广告,甚至可能欺骗你的用户下载和安装恶意软件,这让你大为恼火。使用HTTPS可以保护网站免受窥探和篡改的困扰,是网站必须达到的最低限度的安全要求。你决定趁着做新年度的计划,把启用全站HTTPS提上议程。

该如何说服老板为网站启用全站HTTPS加密呢?以下内容摘自2016年11月谷歌Chrome安全团队Emily Schechter在Oreilly安全大会的演讲,为你提供了足够专业的说服素材!

HTTPS加密已经存在了大约20年,但一直受到一些限制和阻碍,启用HTTPS加密的顾虑,可能来自应用HTTPS的资金成本和性能成本。5年前或10年前情况确实是这样,但是现在情况已经大为改观,使用HTTPS不仅能带来切实的商业利益、获取更良好的网络性能而且价格也不再异常昂贵。

第一步:解决钱的问题

1.启用HTTPS带来切实的商业利益

浏览器要求许多新功能需要HTTPS才能使用,比如:ServiceWorkers允许网站脱机工作、推送通知、添加到主屏幕、允许网站安装应用、可从主屏幕访问、信用卡自动填充和付款API等,使在线购物更加轻松,凭证管理API还允许用户在不同设备上保存密码并保持登录状态。这些浏览器新功能可以有效地利用用户参与度实现网站转化,所有新功能只有当您的页面是HTTPS时才可访问。

谷歌对以下这些启用HTTPS的网站进行案例研究,发现他们都通过这些功能带来切实的好处。

·Flipkart是印度最大的电子商务网站,迁移到HTTPS,重建其移动网站以便使用ServiceWorker推送通知和添加到主屏幕,他们看到转化率提高了70%并且在网站上使用新的web应用程序花费的时间多出3倍。

·Housing.com是印度顶尖的创业公司之一,也迁移到HTTPS,重建移动Web应用程序以使用ServiceWorker推送通知和添加到主屏幕。他们发现跨浏览器的总转化次数增加了38%,价值更高的用户每次会话的停留时间增加了10%,而且返回的次数更多。

·AliExpress是一家中国电子商务网站,他们将移动网站迁移到HTTPS,并开始使用Credential Management API(称为SmartLock),由于用户现在已经跨平台登录,因此使用这个API转化次数增加了11%。

不仅这些具有影响力的新功能被设计为只支持HTTPS,而且Chrome和其他浏览器实际上正在从现有的API中移除对HTTP的支持,这些功能过于强大,无法通过不安全的HTTP使用。

那么“过于强大”是什么意思? 以地理定位为例。 如果一个网站知道我在哪里,它也同样知道我住在哪里,我在哪里工作,我的医生在哪里,也许还知道我孩子的学校在哪里 – 这些信息足够用于全面了解到我,而我只信任这个网站获取这些信息。我们需要HTTPS确保我授予权限的这个网站确实是它所说的网站(身份真实),而且网络上的其他人不能看到这些数据(数据加密)。因此,当使用HTTP明文连接时,一些过于强大的功能将被移除。

地理定位和getUserMedia等功能已经移除对HTTP的支持,EME (Encrypted Media Extensions)和AppCache等功能也将陆续移除支持。(相关阅读:地理定位API未使用HTTPS加密 Chrome 50版不支持连接)

BBC网站迁移到HTTPS的主要原因,正是因为他们需要在其产品上面使用这些强大的浏览器功能。如果他们没有启用HTTPS,主页地点查询、旅游新闻、天气等主要功能将停止工作。

2.HTTPS使网站拥有更良好的性能

HTTPS会伤害我网站的性能吗?增加的TLS握手过程不会拖慢网站的加载速度吗?事实上,现在许多性能增强都需要使用TLS加密连接才能实现,需要HTTPS才能在网络上获得最佳性能,因为明文连接下,中介(如代理)可能会破坏使用这些性能的流量。

·TLS的性能成本:在原始TLS性能成本方面,近年来,现代硬件已经取得了巨大的进步,TLS仅占小于1%的CPU负载,每个连接少于10KB的内存,仅占低于2%的网络开销。在2010年,当Google将Gmail迁移到HTTPS时,产生的性能成本基本可以忽略不计。

·HTTP/2只支持HTTPS:HTTP/2要求使用HTTPS, 通过引入报头的压缩以及请求和响应的复用将网络开销降至最低。Weather.com在迁移到HTTPS后启用了HTTP / 2,性能显著提升。(相关阅读:HTTP2.0提速,让网站飞起来)

·ServiceWorkers只支持HTTPS:ServiceWorkers也只能通过HTTPS启用离线支持,并使用以前缓存的内容响应网络请求。此图表实际上来自今年的Google I / O Web应用程序。当应用程序使用ServiceWorkers(在这里显示为蓝色)时,它在平台上的页面加载时间比在站点没有使用ServiceWorkers时小得多。

应用程序使用ServiceWorkers加载时间

因此,如今HTTPS实际上实现了更好的性能。

3.HTTPS的花费不再昂贵

由于HTTPS已经存在了这么长时间,它曾经确实花费昂贵,但是现在你很有必要告诉你的老板,HTTPS不再昂贵了。以下是HTTPS被认为很昂贵的三个方面:证书价格、广告收入、CDN费用。

·证书价格:要使用HTTPS,您必须从证书颁发机构获取证书,现在有许多低成本的选择(查看沃通证书价格),因此在证书上花钱,真的不再是不迁移到HTTPS的原因。

·广告收入:另一个部分是广告,因为网站害怕在迁移到HTTPS时失去广告收入,或害怕他们的广告合作伙伴拒绝支持HTTPS。但由于在广告生态系统的完善,情况现在好多了。在Google广告方面,对大多数用户来说,来自任何Google来源的所有广告都始终支持HTTPS,迁移到HTTPS后,在网站上展示的广告将不会有任何更改。

·CDN费用:当我们谈论HTTPS的潜在成本时,CDN的费用增加是阻止人们迁移到HTTPS的一大原因。事实证明,一些CDN厂商也开始与CA机构合作提供HTTPS服务。(查看沃通云合作伙伴)

第二步立即执行

了解到HTTPS的花费和带来的切实商业利益,还需要知道启用HTTPS的紧迫性。

1.不要被甩在后面

Firefox和Chrome都发布了遥测统计数据,显示现在超过50%的桌面版网页加载都通过HTTPS;Chrome统计显示桌面用户现在花费超过三分之二的时间在HTTPS网站上。所以“HTTPS无处不在”不再是一个遥远的未来,不立即执行就要被甩在后面了。

2.浏览器将对HTTP标记不安全

2017年1月Chrome 56开始,将对一些不安全的HTTP网站进行安全提示,特别是那些收集密码和卡号等信息的页面。建议你测试一下您的网站,如果显示警告,将其演示给你的老板看。

Chrome 56标记HTTPS不安全

最后一点:做好计划规避影响

说服老板的同时当然要提供完善的HTTPS迁移计划,以规避HTTPS迁移可能带来的影响。

影响一:SEO排名

网站管理员必须采取一些步骤,以确保在迁移到HTTPS时搜索排名过渡顺利。为此,谷歌发布了两个常见问题解答,以帮助网站正确转换,并将继续改进网络基础指南。为避免受到可能的影响,仔细的规划和实施是至关重要的,我们已经看到许多网站成功过渡,对他们的搜索排名和流量影响可以忽略不计。 Wayfar.com和在线零售商迁移到HTTPS,但对排名或搜索流量没有影响,CNET最近也迁移,同样也没有发现他们的排名或流量产生了变化。

影响二:混合内容

混合内容是在HTTPS网站上加载非安全HTTP内容时出现的问题。这很重要,因为非安全的子资源实际上可能危及HTTPS网站的安全性。因此,如果您尝试在HTTPS网站上加载不安全的脚本或iFrame或其他内容,浏览器实际上会阻止它,因为该内容太强大,会完全消除HTTPS网站的所有安全性。

规避混合内容对于迁移过程中的许多网站是一个真正的挑战,尤其是对于发布商来说,这些发布商通常有许多旧的新闻文章,含有通过不支持HTTPS的旧的第三方图像链接。我们称之为passive content,浏览器会允许他们加载,所以网站不会完全崩溃,但绿色锁会消失。

幸运的是,您可以提供Content-Security-Policy头部,以接收有关混合内容的报告。此标头让你可以使浏览器所有内容通过HTTPS加载,如果不是使用HTTPS,你将收到有关的报告。这样,您可以在所有数百万个网页上查找和修复混合内容,能够迅速找到并解决问题,而不必等待用户报告出错的页面。您还可以使用upgrade-insecure-requests CSP指令,以确保您忽略的任何请求无缝升级到HTTPS。

我们很清楚网站不能一直不去做HTTPS升级。在证明真正的商业利益,并证明为什么现在必须这样做之后,希望您的老板同意为每个网站的每个页面使用HTTPS,这是很重要而且有利的!

沃通原创整理,转载请获取授权,本文链接:http://www.wosign.com/News/2017-HTTPS.htm