Il y a une semaine, Google m'a envoyé un email pour utiliser HTTPS. Si je ne transfère pas HTTP vers HTTPS, ma connexion sera sécurisée de manière sécurisée pour tous les visiteurs de mon site qui tenteront de saisir du texte sur mon site.
Sans utiliser SSL, existe-t-il un autre moyen de sécuriser ma connexion? Comme il s’agit d’un processus coûteux d’utilisation de SSL dans les URL Web, je recherche plutôt une autre option.
existe-t-il un autre moyen de sécuriser ma connexion?
Google ne se plaint pas seulement de "sécurité" (qui peut inclure un certain nombre de sujets différents), il cible spécifiquement le cryptage /HTTPS. Avec un protocole HTTP simple, la connexion entre le client et le serveur n'est pas cryptée, ce qui permet à quiconque de voir et d'intercepter potentiellement tout ce qui est soumis. Normalement, cette option ne s'affiche que si vous autorisez les utilisateurs à se connecter (c.-à-d. En soumettant un nom d'utilisateur/mot de passe) ou en transmettant des informations de paiement via une connexion non cryptée. Les soumissions générales de "textes" ne poseraient pas nécessairement problème. Cependant, comme @Kevin l'a souligné dans des commentaires, Google/Chrome prévoit de l'étendre à l'avenir :
À terme, nous prévoyons d’étiqueter toutes les pages HTTP comme non sécurisées et de remplacer l’indicateur de sécurité HTTP par le triangle rouge utilisé pour HTTPS endommagé.
L’installation d’un certificat SSL sur votre site (ou l’utilisation d’un proxy frontal tel que Cloudflare pour gérer la SLL) est le moyen uniquement de chiffrer le trafic vers votre site.
Cependant, ce n'est pas nécessairement un "processus coûteux" de nos jours. Cloudflare propose une option "gratuite" et Let's Encrypt est une autorité de certification gratuite prise en charge par de nombreux hôtes par défaut.
Je ne le recommande pas, mais vous pouvez ignorer ce message en n'utilisant pas les champs de saisie d'origine. Vous pouvez créer vos propres champs de saisie à l'aide de div
classique comportant l'événement onkeypress
. Vous pouvez également créer un élément div
dont l'attribut contenteditable
est défini sur true
.
Ainsi, les utilisateurs pourront saisir des informations sur votre site sans utiliser les éléments de balise input
.
Si vous ne faites que servir des fichiers statiques ou que vous pouvez mettre un proxy devant vous, vous pouvez utiliser un serveur tel que serveur caddie , qui gère tout cela pour vous à l'aide de la fonction encryptage, ce qui simplifie grandement l'approvisionnement en certificats et vous ne devez installer aucun autre logiciel.
Sinon, vous pouvez utiliser un service tel que cloudflare - leur forfait gratuit propose https gratuit.
Enfin, certains hôtes offrent maintenant des certificats https gratuits, notamment dreamhost . Vérifiez donc si votre hôte actuel offre cela en option.
Je ne recommanderais pas d'essayer de trouver une solution de contournement. Il n'y a qu'un seul moyen de sécuriser votre site. Les navigateurs avertiront par la suite sur tous les sites sans https, quel que soit le contenu. Le Web se déplace vers https partout.
personne d'autre ne semble l'avoir mentionné,
Comme dans un environnement d'entreprise, vous pouvez créer votre propre autorité de certification, installer son certificat public sur toutes les machines (ainsi que sur tous les navigateurs et magasins de certificats) qui se connectent à votre site. cette option est libre de monétisation par des tiers; c'est le même chiffre chiffré, vous ne vous connectez pas à la confiance publique (par exemple, votre autorité n'est pas reconnue par Google Chrome, Firefox de Mozilla, etc., comme le fait Let's Encrypts), mais elle sera reconnue par les machines que vous avez configurées pour vous faire confiance. .
certes, les offres relatives à la mise en place d'une autorité de certification sont délicates, un peu obscures et la maintenance peut représenter beaucoup de travail - je les laisse donc de côté, vous feriez probablement mieux de faire une recherche approfondie sur le sujet qui vous intéresse vraiment dans cette approche.
si pour un déploiement nieve, si vous pouvez essayer XCA
XCS est un moyen décent d’émettre des certs pour des déploiements minuscules et inclut une documentation d’aide qui décrit l’ensemble de la configuration.
J'ai quelques idées.
Si HTTPS a pour but de gérer les connexions, vous pouvez minimiser l’effet sur tous les navigateurs en proposant aux utilisateurs de rester connectés. Ensuite, lorsqu’un utilisateur se connecte, un cookie peut être stocké de manière permanente sur son ordinateur. allume son ordinateur pour accéder au site, il sera automatiquement connecté au lieu de se voir toujours présenter une invite de connexion et éventuellement un avertissement de sécurité.
Une autre idée qui peut contourner le message mais qui demande plus de travail à la fois à l'invité et au serveur est de demander à un invité de télécharger un fichier spécial avec la configuration appropriée chiffrée. Par exemple, pour l'écran de connexion, au lieu de demander à l'utilisateur de saisir son nom d'utilisateur et son mot de passe dans deux zones de texte, demandez à l'utilisateur de télécharger un petit fichier contenant son nom d'utilisateur et son mot de passe chiffrés (par exemple, en compressant le nom d'utilisateur et le mot de passe au format ZIP). fichier avec un niveau de compression spécifique), le serveur peut alors déchiffrer le fichier pour extraire le nom d'utilisateur et le mot de passe. Le pirate informatique potentiel verra le charabia en transit lorsque l'utilisateur enverra le fichier au serveur. Le seul petit avantage de cette idée est une vitesse de connexion légèrement plus rapide, car le traitement de la connexion SSL n’a pas lieu dans HTTP.
Non.
N'importe quel piratage que vous essayez (par exemple, en essayant de chiffrer avec javascript), a très peu de chances d'être même proche de la sécurité.
SSL n’a pas à être "cher", de nombreux hébergeurs l’offrent gratuitement. Et même des choses comme cloudflare offrent SSL gratuit et maintiennent un hébergement actuel.