始终使用 HTTPS 保护你的所有网站,即使它们不处理敏感通信。除了为你的网站和用户的个人信息提供关键的安全性和数据完整性之外,许多新的浏览器功能也需要 HTTPS,尤其是渐进式 Web 应用所需的功能。
HTTPS 保护你网站的完整性
HTTPS 帮助防止入侵者篡改你的网站和用户浏览器之间的通信。入侵者包括恶意攻击者和合法的但具有侵入性的公司,例如将广告注入页面的 ISP。
入侵者利用未受保护的通信来欺骗你的用户,使其泄露敏感信息或安装恶意软件,或插入他们自己的资源。例如,一些第三方注入广告,这些广告可能会破坏你的用户体验并产生安全漏洞。
入侵者会利用在你的网站和用户之间传输的每个未受保护的资源。图像、Cookie、脚本和 HTML 都是可利用的。入侵可能发生在网络中的任何一点,包括用户的机器、Wi-Fi 热点或被入侵的 ISP,仅举几例。HTTPS 使入侵者更难访问你网站的资源。
HTTPS 保护你用户的隐私和安全
HTTPS 防止入侵者被动地监听你的网站和用户之间的通信。
关于 HTTPS 的一个常见误解是,只有处理敏感通信的网站才需要 HTTPS。事实上,每个未受保护的 HTTP 请求都可能泄露有关用户行为和身份的信息。
单独访问你的一个未受保护的网站可能看起来是无害的,但一些入侵者会查看用户的总体浏览活动,以推断他们的行为和意图,并去匿名化他们的身份。例如,员工可能仅仅通过阅读未受保护的医学文章,无意中向雇主透露敏感的健康状况。
HTTPS 是 Web 的未来
强大的新 Web 平台功能,例如使用 getUserMedia() 拍照或录制音频,使用 Service Workers 启用离线应用体验,或构建 渐进式 Web 应用,都需要通过 HTTPS 获得用户的明确许可。许多较旧的 API 也在更新,以要求执行许可,例如 Geolocation API。HTTPS 是新功能和更新功能的许可工作流程的关键组成部分。