Luôn bảo vệ mọi trang web của bạn bằng HTTPS, ngay cả khi các trang web đó không xử lý thông tin giao tiếp nhạy cảm. Ngoài việc cung cấp tính bảo mật và tính toàn vẹn của dữ liệu quan trọng cho cả trang web và thông tin cá nhân của người dùng, bạn cần phải sử dụng HTTPS cho nhiều tính năng mới của trình duyệt, đặc biệt là những tính năng cần thiết cho ứng dụng web tiến bộ.
Giao thức HTTPS bảo vệ tính toàn vẹn của trang web
HTTPS giúp ngăn chặn kẻ xâm nhập can thiệp vào hoạt động giao tiếp giữa trang web của bạn và trình duyệt của người dùng. Kẻ xâm nhập bao gồm cả kẻ tấn công cố ý gây hại và các công ty hợp pháp nhưng xâm nhập, chẳng hạn như các ISP chèn quảng cáo vào trang.
Kẻ xâm nhập khai thác các thông tin liên lạc không được bảo vệ để lừa người dùng cung cấp thông tin nhạy cảm hoặc cài đặt phần mềm độc hại hoặc chèn tài nguyên của riêng họ. Ví dụ: một số bên thứ ba chèn quảng cáo có thể phá vỡ trải nghiệm người dùng và tạo ra lỗ hổng bảo mật.
Kẻ xâm nhập khai thác mọi tài nguyên không được bảo vệ di chuyển giữa trang web và người dùng của bạn. Hình ảnh, cookie, tập lệnh và HTML đều có thể khai thác. Xâm nhập có thể xảy ra bất cứ lúc nào trong mạng, bao gồm cả máy của người dùng, điểm phát sóng Wi-Fi hoặc ISP bị xâm nhập, v.v. HTTPS làm cho kẻ xâm nhập khó truy cập vào tài nguyên trang web của bạn hơn.
Giao thức HTTPS bảo vệ quyền riêng tư và sự an toàn của người dùng
HTTPS ngăn những kẻ xâm nhập theo dõi thụ động thông tin liên lạc giữa trang web và người dùng của bạn.
Có một quan niệm sai lầm phổ biến về HTTPS là HTTPS chỉ cần các trang web xử lý thông tin liên lạc nhạy cảm. Trên thực tế, mọi yêu cầu HTTP không được bảo vệ đều có thể tiết lộ thông tin về hành vi và danh tính của người dùng.
Việc một lần truy cập vào một trong các trang web không được bảo vệ của bạn có vẻ vô hại, nhưng một số kẻ xâm nhập xem xét các hoạt động duyệt web tổng hợp của người dùng để suy luận về hành vi và ý định của họ, cũng như để loại bỏ thông tin nhận dạng danh tính của họ. Ví dụ: nhân viên có thể vô tình tiết lộ cho chủ lao động về tình trạng sức khoẻ nhạy cảm chỉ bằng cách đọc các bài viết về y tế không được bảo vệ.
HTTPS là tương lai của web
Các tính năng mới mạnh mẽ của nền tảng web, chẳng hạn như chụp ảnh hoặc ghi âm bằng getUserMedia()
, cho phép trải nghiệm ứng dụng ngoại tuyến với trình chạy dịch vụ hoặc xây dựng ứng dụng web tiến bộ, đòi hỏi người dùng phải cho phép rõ ràng thông qua HTTPS. Nhiều API cũ cũng đang được cập nhật để yêu cầu quyền thực thi, chẳng hạn như API vị trí địa lý. HTTPS là một thành phần quan trọng trong quy trình cấp quyền cho cả tính năng mới và tính năng được cập nhật.