サイトをSSL（HTTPS）経由で強制的にロードすることの利点は何ですか？

大規模なコンテンツ専用サイトがあるとしましょう。ログインもログアウトも、ユーザー名も、メールアドレスも、安全なエリアも、サイトの秘密も何もない、,。人々はサイトに来て、ページからページに移動してコンテンツを見るだけです。

GoogleからのSEOのわずかな増加（非常にわずかな、私が読んだものから）に加えて、HTTPS経由でサイトを強制的にロードする利点はありますか？

HTTPSは単に秘密を提供するだけでなく（その理由はまだありますが、値を疑っています）、常に価値がある信頼性も提供します。それがなければ、悪意のあるアクセスポイント/ルーター/ ISP /など。ユーザーに表示する前にサイトの任意の部分を書き換えることができます。これには次のものが含まれます。

• 競合他社に広告を挿入する
• サイトの見栄えを悪くして評判を傷つける広告や迷惑なウィジェットを挿入する
• 訪問者のコンピューターにマルウェアのドライブバイダウンロードを実行するためのエクスプロイトを注入し、訪問者のコンピューターが（間違いなく）発生したことを非難する
• サイトからダウンロードしたソフトウェアをマルウェアがバンドルされたものに置き換える
• 画像の品質を下げる
• あなたが見たくないサイトの部分を削除します。例えば、彼ら自身のサービスと競合するものや悪い光でそれらを描写するもの
• 等

これらのことからユーザーを保護しないことは無責任です。

「サイトに秘密はない」

... あなたによると。誰かが安全な接続を望んでいるのは、完璧な理由かもしれません。それは（部分的に）プライバシーを作成します：

私の管理者は、URLを介して電話で写真サイトを閲覧していることを確認できますが、かわいい猫の写真を見ているのか、筋金入りのポルノを見ているのかわかりません。それはかなり良いプライバシーだと思います。「コンテンツ」と「コンテンツ」は、世界のすべての違いを生むことができます。– Agent_L

取るに足らないと思うかもしれませんし、今では大したことではないかもしれませんが、別の時点になるかもしれません。私と私以外の誰も私がやっていることを正確に知っているべきではないと私は信じています。

それは信頼を生み出します。南京錠を持っていることはセキュリティの兆候であり、ウェブサイト、したがってあなたの製品に関するある程度のスキルを意味します。

たとえば、MitM攻撃の標的になりにくくなります。セキュリティが向上します。

Let's Encryptのようなイニシアチブを使用すると、はるかに簡単で無料になりますが、多くの欠点はありません。SSLが消費するCPUパワーは、ごくわずかです。

Web サイトの読み込み速度を大幅に改善するように設計された新しいWeb標準であるHTTP / 2サポートを利用できます。

ブラウザメーカーは、HTTPS経由でのみHTTP / 2をサポートすることを選択しているため、HTTPSを有効にする（HTTP / 2をサポートするサーバー上で）ことが、この速度のアップグレードを取得する唯一の方法です。

（同様の質問に対する私の回答から抜粋した部分。）

HTTPSは次の2つのことを実現できます。

• 認証。訪問者が実際のドメイン所有者と通信していることを確認します。
• 暗号化。このドメイン所有者と訪問者のみが通信を読むことができるようにします。

おそらく、秘密を送信するとき（パスワード、銀行データなど）、HTTPSが必須であることに全員が同意しますが、サイトがそのような秘密を処理しない場合でも、HTTPSの使用が有益である場合がある理由がいくつかあります。

攻撃者は要求されたコンテンツを改ざんすることはできません。

HTTPを使用すると、盗聴者はWebサイトで訪問者が見るコンテンツを操作できます。例えば：

• ダウンロード用に提供するソフトウェアにマルウェアを含めます（またはソフトウェアのダウンロードを提供しない場合、攻撃者はそうし始めます）。
• コンテンツの一部を検閲しています。意見の表現を変える。
• 広告を挿入します。
• 寄付アカウントのデータを自分の寄付アカウントに置き換えます。

HTTPSはこれを防ぐことができます。

攻撃者は要求されたコンテンツを読むことができません。

HTTPを使用すると、盗聴者は訪問者がアクセスするホスト上のページ/コンテンツを知ることができます。コンテンツ自体は公開されている場合もありますが、特定の人がそれを消費するという知識は問題になる可能性があります。

• ソーシャルエンジニアリングの攻撃ベクトルを開きます。
• それはプライバシーを侵害します。
• それは監視と処罰につながる可能性があります（投獄、拷問、死まで）。

もちろん、これはあなたのコンテンツの性質に依存しますが、あなたにとって無害なコンテンツと思われるものは、他の関係者によって異なって解釈される可能性があります。

後悔するよりも安全である方が良い。HTTPSはこれを防ぐことができます。

それは、あなたがあなたのサイトを訪問していると思わせる中間者攻撃を防ぎますが、実際には別のページであり、あなたから情報を得ようとするかもしれません。データは暗号化されているため、攻撃者が見たとおりにページを操作することも難しくなります。

SSL証明書が必要なため、少なくともサイトの所有者であることを確認し、少なくとも本人であることを確認します。

Hitwiseのようなマーケティング会社は、SSLを使用しない場合、ISPに関する支払いをしてサイトに関するデータを収集します。あなたのサイトに関するデータが収集されますが、競合他社にそれを知らせることはできません。

• ユーザー層
• 訪問者の統計
• 人気のあるページ
• 検索エンジンのキーワード（「提供されていない」とはいえ、これは最近ではそれほど問題ではありません）

そして、すべての答えにもう1つ追加するために、遅延について説明します。なぜなら、これについて誰もここに書いていないようです。

クライアントからサーバーへのHTTP待ち時間を短くすることは、高速で読み込みの速いWebサイトを作成するために重要です。

TCP / IPのみに3ウェイハンドシェイクがあります（プレーンHTTP over TCPの初期接続セットアップには3パケットが必要です）。SSL / TLSを使用すると、接続設定がより複雑になります。つまり、新しいHTTPS接続のレイテンシはプレーンテキストHTTPよりも避けられないほど長くなります。

HTTPの問題は、安全でないことです。したがって、機密データがある場合は、何らかのセキュリティが必要です。「https」で始まるWebブラウザに何かを入力すると、ブラウザに暗号化層を使用してトラフィックを保護するように要求します。これにより、盗聴者に対する合理的な保護が提供されますが、問題はそれが遅くなることです。トラフィックを暗号化するため、計算が必要になり、時間が長くなります。これは、システムを正しく設計しないと、ユーザーにとってWebサイトが遅くなることを意味します。

結論：

大規模なコンテンツ専用サイトがあります。ログインもログアウトも、ユーザー名も、メールアドレスも、安全なエリアも、サイトの秘密も何もない、,。人々はサイトに来て、ページからページに移動してコンテンツを見るだけです。

この場合、SSLはまったく使用しません。クリックして1秒で開くページが欲しいです。それは、ユーザーエクスペリエンスからです。あなたが望むようにします、私は私が作るすべてに証明書を置きません。この特定のケースでは、まったく使用しません。

他の人が言及した利点に加えて、Chromeを使用する訪問者を気にしない限り、SSLに切り替える理由が1つあります-Chromeの新しいバージョン（私が覚えている限りでは年末から始まります）はHTTPSを使用していないすべてのサイトに対して、デフォルトで警告が表示されます（これにより、サイトからユーザーが追い出されます）。

//編集：

以下に詳細な2つの記事へのリンクを示しますが、この機能を公式に導入する予定のときに読んだ記事は見つかりません。

https://motherboard.vice.com/read/google-will-soon-shame-all-websites-that-are-unencrypted-chrome-https

http://www.pandasecurity.com/mediacenter/security/websites-that-arent-using-https/

簡単な答えは、そうしない正当な理由はないということです。過去には、絶対に必要な場合にのみSSLを使用することについての議論がありました（支払いの詳細を収集するeコマースサイトなど）。

これらは主に、SSL証明書のインストール手順、コスト、ウェブサーバーへの追加負荷、およびネットワークの制限に関係していました-当時、人々はブロードバンドなどを持っていませんでした。これらの理由は2016年には当てはまりません。

SEOに関しては、ほとんどの検索エンジンの目標はユーザーに最高の結果を提供することであり、これはユーザーが閲覧しているサイトへの安全な接続を提供することで実現できることを知っています。この点で、検索エンジンは、サイトに「表示」または「収集」された「機密」データがあるかどうかを気にしません。サイトがHTTPS経由で提供される場合、認証および暗号化の潜在的なリスクが大幅に最小限に抑えられるため、サイトはHTTPSのない同等のサイトよりも「良い」と見なされます。

基本的に、実装は非常にシンプルで簡単であり、最近ではベストプラクティスと見なされています。Web開発者として、SSL証明書をインストールし、HTTPS（.htaccessまたは同等のものを使用して非常に簡単）を介してすべての要求を、構築するサイトまたはWebアプリケーションの標準部分にすることを検討します。

他の回答に加えて、ブラウザは（RFC 2119のように）User-Agentヘッダーを送信する必要があります。ユーザーが実際のを送信する場合、ユーザーが使用しているプラ​​ットフォームに関する十分な情報を提供しますUser-Agent。EveがAliceによって行われた要求を傍受でき、Aliceが実際のを送信するとUser-Agent、EveはAliceがEveのサーバーに接続せずにAliceが使用するプラットフォームを認識します。このような知識があれば、アリスのコンピューターにハッキングするのが簡単になります。

メインドメイン（mysite.com）とそのサブドメイン（play.mysite.comおよびtest.mysite.com）を保護するための2つのオプションがあります。SSLは、eコマース、金融取引またはログイン資格情報がWebサイトで共有される支払い商人サイトだけのものではありません。コンテンツベースのWebサイトでも同様に重要です。攻撃者は常にプレーンなWebサイトまたはWebサイトの抜け穴を検索します。SSLはセキュリティを提供するだけでなく、Webサイトの認証も行います。コンテンツベースのウェブサイトでSSLを使用する主な利点は、

• サイトのコンテンツを変更できる中間者攻撃を回避できます。

• さらに、あなたのウェブサイトは、訪問者がウェブサイトと共有する場合、情報が保護されることを訪問者に通知する真正性を持ちます。

• 彼らはウェブサイトの真正性についての保証を得ます。

• さらに、WebサイトでSSLを使用すると、悪意のある広告、エクスプロイト、不要なウィジェット、ソフトウェアの交換、およびWebページへの害がWebサイトから注入されなくなります。

• SSL証明書は、任意のWebページに配置できる静的なサイトシールを提供します。顧客は、シールをクリックして、インストールされたSSL証明書の詳細を知ることができます。

他の回答では、HTTPSの利点について説明しました。ユーザーはHTTPSの使用を強制されますか？2つの理由：

• ユーザーにHTTPSを使用しないオプションを与えた場合、特にほとんどのブラウザーはアドレスバーにドメインを入力するときにhttps：//ではなくhttp：//をデフォルトとするため、おそらくHTTPSは使用しません。
• 安全なバージョンと安全でないバージョンの両方を実装することにより、接続の攻撃対象領域を増やします。安全なバージョンを使用していると考えている場合でも、攻撃者にダウングレード攻撃を実行する機会を与えます。
• すべてのhttp：// URLを同等のhttps：//にリダイレクトすると、サーバーの管理者と検索エンジンの作業が楽になります。http：//とhttps：//が同等であるか、完全に異なるものを指しているのかを心配する必要はありません。相互にリダイレクトすることで、使用するURLが誰にでも明らかです。