1週間前、GoogleからHTTPSを使用するためのメールが送られてきました。HTTPをHTTPSに転送しない場合、サイトにテキストを入力しようとするすべてのサイト訪問者に対して、接続が保護されていないことが表示されます。

SSLを使用せずに、接続を保護する他の方法はありますか？Web URLでSSLを使用する費用のかかるプロセスに関連しているため、代わりに他のオプションを検索しています。

接続を保護する他の方法はありますか？

Googleは「セキュリティ」（多くの異なるトピックを含む可能性がある）について不平を言っているだけでなく、特に暗号化 / HTTPS を対象としています。プレーンHTTPを使用すると、クライアントとサーバー間の接続は暗号化されないため、だれでも送信されたものを表示および傍受できる可能性があります。通常、ユーザーにログインを許可する（ユーザー名/パスワードを送信する）か、暗号化されていない接続を介して支払い情報を送信する場合にのみ、これでプロンプトが表示されます。一般的な「テキスト」フォームの送信は必ずしも問題ではありません。ただし、@ Kevinがコメントで指摘したように、Google / Chromeは今後これを拡張する予定です。

最終的には、すべてのHTTPページを非セキュアとしてラベル付けし、HTTPセキュリティインジケーターを、破損したHTTPSに使用する赤い三角形に変更する予定です。

サイトにSSL証明書をインストールする（またはCloudflareなどのフロントエンドプロキシを使用してSLLを処理する）ことは、サイトへのトラフィックを暗号化する唯一の方法です。

ただし、これは必ずしも最近の「費用のかかるプロセス」ではありません。Cloudflareには「無料」オプションがあり、Let's Encryptは、多くのホストがデフォルトでサポートする無料の認証局です。

推奨しませんが、元の入力テキストフィールドを使用しないことで、このメッセージをバイパスできます。イベントdivを持つレギュラーを使用して、独自の入力フィールドを作成できますonkeypress。またはdiv、contenteditable属性をに設定した要素を作成できますtrue。

これにより、ユーザーはinputタグ要素を使用せずにサイト上の情報を入力できるようになります。

静的ファイルを提供しているだけの場合、またはプロキシを前面に配置できる場合は、lets encryptを使用してこれらすべてを処理するキャディサーバーなどのサーバーを使用できます。他のソフトウェアをインストールします。

あるいは、cloudflareのようなサービスを使用することもできます-彼らの無料プランは無料のhttpsを提供します。

最後に、ドリームホストを含​​む一部のホストは無料のhttps 証明書を提供しています。現在のホストがオプションとしてこれを提供しているかどうかを確認してください。

回避策を見つけることはお勧めしません。サイトをセキュリティで保護する方法は1つしかありません。ブラウザは、コンテンツに関係なく、最終的にhttpsを持たないすべてのサイトで警告します。Webはどこでもhttpsに向かっています。

誰も言及していないようです

サイトに接続するすべてのマシンを所有している場合

、企業の設定のように、独自の認証局を作成し、その公開証明書をサイトに接続するすべてのマシン（すべてのブラウザーと証明書ストア）にインストールできます。このオプションには、サードパーティの収益化はありません。それは同じ暗号化暗号であり、パブリックトラストにサインインすることはありません（たとえば、あなたの権限はGoogleのChrome、MozillaのFirefoxなど、Let's Encryptsのように認識されません）。 。

確かに、認証局のセットアップをやめることはやや不明瞭であり、メンテナンスには多くの労力がかかる可能性があります。したがって、ここではそれらを省きます。このアプローチで。

しかし、nieve展開の場合、XCAを試すことができれば

• Debianの場合：https : //packages.debian.org/stretch/xca
• 公式サイト：http : //xca.sourceforge.net/

XCSは、小規模な展開に対して証明書を発行する適切な方法であり、セットアップ全体を説明するヘルプドキュメントが含まれています。

いくつかのアイデアがあります。

HTTPSの理由がログインの管理である場合、ユーザーにログイン状態を維持することを提供することにより、すべてのブラウザーでの影響を最小限に抑えることができます。ユーザーがログインすると、Cookieサイトにアクセスするためにコンピュータの電源を入れると、ログインプロンプトとセキュリティ警告が常に表示されるのではなく、自動的にログインされます。

メッセージをバイパスすることはできますが、ゲストとサーバーの両方でより多くの作業になる別のアイデアは、ゲストに適切な構成を暗号化した特別なファイルをアップロードさせることです。たとえば、ログイン画面の場合、ユーザーに2つのテキストボックスにユーザー名とパスワードを入力するのではなく、ユーザー名とパスワードを暗号化した小さなファイルをユーザーにアップロードさせます（たとえば、ユーザー名とパスワードをzipとして圧縮します）特定の圧縮レベルのファイル）、サーバーはファイルを復号化してユーザー名とパスワードを抽出できます。潜在的なハッカーは、ユーザーがサーバーにファイルを送信すると、送信中に意味不明なメッセージを目にします。このアイデアのわずかな利点は、SSL接続処理がHTTPで行われないため、接続速度がわずかに速いことです。

番号。

ハック（javascriptで暗号化しようとするなど）を試みても、安全に近い可能性はほとんどありません。

SSLは「高価」である必要はなく、多くのホスティングプロバイダーが無料で提供しています。また、cloudflareのようなものでも無料のSSLを提供し、現在のホスティングを維持します。

無料の迅速なソリューションはLet's Encryptです。 リンク ほぼすべてのサーバーOSのドキュメントがあります。私たちは仕事でそれを使用し、W2Pベンダーはそれを使用して各店舗を保護します。