始终使用 HTTPS 保护您的所有网站,即使这些网站并不处理敏感的通信。除了为您的网站和用户的个人信息提供关键的安全性和数据完整性之外,许多新的浏览器功能(尤其是 Progressive Web App 所需的功能)也必须使用 HTTPS。
HTTPS 可保护您网站的完整性
HTTPS 有助于防止入侵者篡改您的网站与用户浏览器之间的通信。入侵者包括蓄意的恶意攻击者,以及合法但具有侵扰性的公司,例如将广告注入网页的 ISP。
入侵者会利用未受保护的通信诱使用户泄露敏感信息或安装恶意软件,或插入自己的资源。例如,有些第三方植入的广告可能会破坏用户体验并造成安全漏洞。
入侵者会利用您的网站和用户之间传输的每个未受保护的资源。图片、Cookie、脚本和 HTML 都会遭到利用。入侵可能会在网络中随时发生,包括用户的计算机、Wi-Fi 热点或被破解的 ISP 等等。HTTPS 可降低入侵者访问您网站的资源的难度。
HTTPS 可保护用户的隐私和安全
HTTPS 可防止入侵者被动监听您的网站与用户之间的通信。
人们对 HTTPS 有一个普遍的错误认识,认为只有处理敏感通信的网站才需要 HTTPS。事实上,每个不受保护的 HTTP 请求都可能泄露有关您用户的行为和身份的信息。
单次访问您未受保护的网站可能看起来没有问题,但有些入侵者会查看用户的总体浏览活动,以推断他们的行为和意图,并对他们的身份进行去匿名化处理。例如,员工可能在阅读不受保护的医疗文章时无意间向雇主披露敏感的健康状况。
HTTPS 是网络的未来发展方向
强大的新 Web 平台功能(如使用 getUserMedia() 拍照或录制音频、使用Service Worker 实现离线应用体验,或构建 Progressive Web 应用),需要通过 HTTPS 获得用户的明确许可。还将更新许多较旧的 API,以要求执行权限,例如 Geolocation API。HTTPS 是新功能和更新后的功能的权限工作流中的关键组成部分。