您应始终使用 HTTPS 保护您的所有网站,即使网站不处理敏感通信也应如此。除了为您的网站和用户的个人信息提供重要的安全保障和数据完整性支持外,许多新的浏览器功能(尤其是渐进式 Web 应用所需的功能)也要求使用 HTTPS。
HTTPS 可保护您网站的完整性
HTTPS 有助于防止入侵者篡改您的网站与用户浏览器之间的通信。入侵者包括蓄意恶意攻击者和合法但具有侵入性的公司,例如将广告注入网页的 ISP。
入侵者会利用不受保护的通信来诱骗您的用户泄露敏感信息或安装恶意软件,或插入自己的资源。例如,某些第三方会植入可能会破坏用户体验并造成安全漏洞的广告。
入侵者会利用您的网站与用户之间传输的每个不受保护的资源。图片、Cookie、脚本和 HTML 均可被利用。入侵可能发生在网络的任何位置,包括用户设备、WLAN 热点或遭入侵的 ISP,这里仅列举了几个示例。HTTPS 可让入侵者更难访问您网站的资源。
HTTPS 可保护用户的隐私和安全
HTTPS 可防止入侵者被动地监听您的网站与用户之间的通信。
关于 HTTPS,一个常见的误解是,只有处理敏感通信的网站才需要 HTTPS。事实上,每个不受保护的 HTTP 请求都可能会泄露有关用户行为和身份的信息。
一次访问未受保护的网站可能看起来无害,但有些入侵者会查看用户的汇总浏览活动,以推断其行为和意图,并取消匿名化其身份。 例如,员工可能只是阅读了未受保护的医学文章,就不经意间向雇主透露了敏感的健康状况。
HTTPS 是 Web 的未来
强大的全新 Web 平台功能(例如使用 getUserMedia() 拍照或录制音频、通过 Service Worker 实现离线应用体验或构建 渐进式 Web 应用)需要通过 HTTPS 获得用户的明确许可。许多旧版 API 也正在更新,以要求执行权限,例如 Geolocation API。HTTPS 是新功能和更新功能权限工作流的关键组成部分。