0
Vergleich von HTTPS-Diensten: vs. traditionell vs. Let’s Encrypt vs. Cloudflareby marvelads.comon.Vergleich von HTTPS-Diensten: vs. traditionell vs. Let’s Encrypt vs. Cloudflare  Wenn Sie Website-Eigenschaften in Google Search Console überprüft haben und Websites nicht HTTPS-geschützt sind, ist es wahrscheinlich, dass Sie einige der folgenden Nachrichten in Ihrem Bindestrich vor kurzem gesehen haben: Nach Monaten des Sprechens und der Spekulation beginnt Google endlich mit seinem Plan, das Web durch die Durchsetzung von HTTPS zu sichern. Während HTTPS […]

 

Wenn Sie Website-Eigenschaften in Google Search Console überprüft haben und Websites nicht HTTPS-geschützt sind, ist es wahrscheinlich, dass Sie einige der folgenden Nachrichten in Ihrem Bindestrich vor kurzem gesehen haben:

Nach Monaten des Sprechens und der Spekulation beginnt Google endlich mit seinem Plan, das Web durch die Durchsetzung von HTTPS zu sichern. Während HTTPS war bisher nur die Sorge von E-Commerce-Sites oder Websites mit Login-Funktionalität, diese letzte Aktualisierung erheblich betroffen die Website. Die meisten Webseiten haben Kontakt (oder ähnliche) Seiten, die Kontaktformulare oder Abonnements enthalten. Die Form enthält fast immer ein Texteingabefeld wie Google warnt in der obigen Nachricht. “NO SAFE” Warnung ist auf unsicheren Websites erschienen, die Zahlungs- oder Kennwortinformationen sammeln. Dies scheint in der URL des Benutzers zu sein:

Da diese Warnung einen viel größeren Prozentsatz des Internets anzeigen wird, können Webmaster die HTTPS-Implementierung nicht länger verzögern. Leider ist Google Vorschlag für Webmaster, dieses Problem zu lösen ist genauso vage und wenig hilfreich, wie Sie vielleicht denken:

Danke, Google.

Die Implementierung von HTTPS ist kein einfacher Prozess. Die Washington Post veröffentlicht einen Blog-Post, der ihre 10-monatige HTTPS-Migration im Jahr 2015 skizziert, und viele Websites (einschließlich Moz) haben nach ihrer Migration große Verkehrsschwankungen gemeldet. Die Zeit und Ressourcen, die für die Migration auf HTTPS benötigt werden, sind keine kleine Investition. Wir sprechen über umfangreiche Verbesserungen der Website. Trotz dieser Hindernisse hat Google wenig Sympathie für das Schicksal der Webmaster gezeigt:

 

 

Google’s alleiniger Fokus in diesem Bereich ist es, eine bessere Benutzererfahrung für Web-Besucher durch die Verbesserung der Internet-Sicherheit bieten. Auf der Oberfläche gibt es nichts falsch mit dieser Bewegung. Allerdings ignoriert Google offensichtlich die Komplexität, die für diese Webmaster geschaffen wurde, um einen schlechten Geschmack in meinem Mund zu hinterlassen, unabhängig von ihren guten Absichten.

Glücklicherweise gibt es ein bisschen Silberfutter für dieses HTTPS-Problem. In den vergangenen Jahren haben wir mit einer Reihe von verschiedenen Clients gearbeitet, um HTTPS auf ihren Standorten mit einer Vielzahl von verschiedenen Methoden zu implementieren. Jede Erfahrung ist einzigartig und stellt ihre eigenen Herausforderungen und Hindernisse vor. In einem früheren Beitrag schrieb ich über Schritte zu tun, bevor, während und nach Migration auf unserer Erfahrung basiert. In diesem Beitrag konzentriert sich mein Fokus auf die Vor- und Nachteile verschiedener HTTPS-Dienste, einschließlich nicht-traditioneller Implementierungen.

Hier sind drei Methoden, die wir für unsere Kunden gemacht haben:

  1. Traditionelle HTTPS-Implementierung
  2. Lasst uns verschlingen
  3. Cloudflare

Methode 1: Traditionelle HTTPS-Implementierung

Traditionelles HTTPS beginnt mit dem Kauf von SSL-Zertifikaten von vertrauenswürdigen Anbietern wie Digicert oder GeoTrust (Hinweis: Wenn Websites, die SSL-Zertifikate verkaufen, nicht HTTPS-geschützt sind, kaufen sie nicht). Danach müssen Sie das Zertifikat mit der von Ihnen erworbenen Zertifizierungsstelle über die Zertifikatsignierungsanforderung (CSR) überprüfen; Dies beweist nur, dass Sie die Seiten verwalten, die Sie behaupten, zu verwalten. An diesem Punkt wird Ihr SSL-Zertifikat validiert, aber Sie müssen es immer noch über Ihre Website anwenden. Namecheap hat einen großen Artikel über die Installation eines SSL-Zertifikats je nach Server-Typ. Sobald das SSL-Zertifikat installiert ist, wird Ihre Website gesichert, und Sie können zusätzliche Schritte unternehmen, um HSTS zu aktivieren oder HTTPS-Reset mit Kraft zu diesem Zeitpunkt neu zu erstellen.

Pros

  1. Volle Sicherheit. Mit vollständig validierten SSL-Zertifikaten, die auf Ihrem Root-Server installiert sind, besteht keine Chance auf unterbrochene Verbindungen zwischen dem Server und Ihrer Website oder zwischen Ihren Website- und Website-Besuchern.
  2. kann angepasst werden. Eines der Features einer vollständigen SSL-Implementierung ist, dass Sie ein Extended Validation (EV) SSL-Zertifikat erwerben können. Dies ist nicht nur Ihr grünes Vorhängeschloss in der Browser-Bar, sondern auch Ihren Firmennamen, um weitere Sicherheit für Besucher, dass Ihre Website ist sicher und sicher.
  3. Einfacher, sich auf mehrere Subdomains zu bewerben. Wenn Sie mehrere Subdomains haben, die Sie für Ihre HTTPS-Implementierung benötigen, ist ein separates SSL-Zertifikat für jedes Subdomain- oder Wildcard-Zertifikat für alle Ihre Domain-Variationen. Traditionelle SSL-Dienste sind oft der einfachste Weg, um Wildcard-Zertifikate zu erstellen, wenn Sie etwas Abwechslung benötigen.

Nachteile

  1. Teuer Obwohl ein Basis-SSL-Zertifikat für so wenig wie $ 150 verfügbar sein kann, abhängig von der Komplexität Ihrer Website, können diese Kosten schnell auf mehrere tausend Dollar steigen, wenn Sie anspruchsvollere Sicherheitsfunktionen benötigen, Besser CDN, etc. Es beinhaltet auch nicht die Kosten für den Entwickler ein SSL-Zertifikat anwenden, das auch umfangreich sein kann.
  2. Zeit zu beantragen. Wie oben erwähnt, braucht es die Washington Post 10 Monate, um ihre HTTPS-Migration abzuschließen. Andere Unternehmen haben den gleichen Zeitrahmen gemeldet, vor allem für größere und komplexe Websites. Es ist sehr schwierig, im Voraus zu wissen, welche Art von Problemen Sie mit Ihrer Website-Konfiguration ansprechen sollten, welche Art von gemischten Inhalten Sie sich vorstellen könnten, und so weiter, so planen Sie viel Zeit für die Arbeit um dieses Problem, wenn Sie mit der Standard-Implementierung gehen.

Methode 2: Lass uns verschlüsseln

Let Encrypt ist eine kostenlose Non-Profit-Service von der Internet Security Research Group zur Förderung der Web-Sicherheit durch die Bereitstellung von kostenlosen SSL-Zertifikate zur Verfügung gestellt. Die Implementierung eines Letter Encrypt ist der herkömmlichen HTTPS-Implementierung sehr ähnlich: Sie müssen die Certificate Authority noch einmal validieren, SSL-Zertifikate auf Ihrem Server installieren und dann HTTPS HSTS oder Forced HTTPS rewriting aktivieren. Allerdings ist die Anwendung Let’s Encrypt oft viel einfacher durch die Hilfe von Diensten wie Certbot, die den notwendigen Implementierungscode für Ihre Software und Server-Konfiguration bereitstellen wird.

Pros

  1. Frei. es kostet null, zippo, ton. Kein feines Druck oder versteckte Details.
  2. Einfache Umsetzung. Mari Encrypt SSL ist oft einfacher zu implementieren auf Ihrer Website als herkömmliche HTTPS-Implementierungen. Obwohl nicht so einfach wie Cloudflare (siehe unten), diese einfache Implementierung können viele technische Hürden für Menschen, die SSL-Zertifikate installieren wollen, lösen.
  3. vollständige Sicherheit. Wie bei herkömmlichen HTTPS-Implementierungen ist die Gesamtverknüpfung zwischen Standortbesuchern und Standortservern sicher und ermöglicht somit keine ununterbrochenen Verbindungen.

Nachteile

  1. Das Verschlüsselungsproblem ist bekannt, dass es mit mehreren verschiedenen Plattformen nicht kompatibel ist, obwohl es nicht kompatibel ist, möglicherweise nicht die primäre Quelle des Verkehrs auf Ihre Website (Blackberry, Nintendo 3DS, etc.).
  2. Zertifikat 90 Tage. Während traditionelle SSL-Zertifikate oft für ein Jahr oder mehr gelten, sind die Verschlüsselungsbescheinigungen nur für 90 Tage gültig und sie empfehlen, alle 60 Tage zu erneuern. Vergessen, Ihr Zertifikat mit dieser erforderlichen Häufigkeit zu aktualisieren, kann Ihre Website in eine kompromittierende Situation bringen.
  3. Begrenzte Anpassung. Let Encrypt wird nur Domain Validation Zertifikate, was bedeutet, dass Sie nicht kaufen können ein Zertifikat, um die grüne EV-Zertifikat zu bekommen. Auch die Letter Encrypt bietet derzeit keine Wildcard-Zertifikate an, um alle Ihre Subdomains zu sichern, obwohl sie angekündigt haben, dass sie im Januar 2018 starten wird.

Methode 3: Cloudflare

Dies ist eine meiner Lieblings-HTTPS-Implementierungen, einfach weil, wie einfach es ist, es zu aktivieren. Cloudflare bietet flexiblen SSL-Service, der nahezu alle Probleme mit der Bereitstellung von SSL-Zertifikaten direkt auf Ihrer Website eliminiert. Stattdessen wird Cloudflare die Cache-Version Ihrer Website auf ihren Servern hosten und sichere Verbindungen zu Website-Besuchern durch ihren eigenen SSL-Schutz sichern. Sie können sehen, wie das Bild aussieht:

So macht Cloudflare diesen Prozess so einfach wie man es verlangen kann. Alles, was Sie tun müssen, ist, Ihre DNS-Datensätze zu aktualisieren, um auf die Cloudflare-Nameserver zu verweisen. Boom, fertig und wie bei Let’s Encrypt, ist der Prozess völlig kostenlos.

Pros

  1. Frei. Es kostet null, zippo, ton. Keine guten oder versteckten Details. Cloudflare bietet erweiterte Funktionen, wenn Sie auf einen ihrer bezahlten Pläne aktualisieren, aber der Basis-SSL-Service ist absolut kostenlos.
  2. Die einfachste Implementierung. Wie ich bereits erwähnt habe, alles, was Sie brauchen, um den Cloudflare SSL-Dienst zu implementieren, erstellen Sie Ihr Konto und aktualisieren Sie Ihre DNS-Datensätze. Es gibt keine Aktualisierung der Serverkonfiguration und es wird keine Zeit verbracht, um zusätzliche Konfigurationsprobleme zu beheben. Darüber hinaus kann die Implementierung von HSTS und gezwungenes HTTPS-Rewriting direkt über das Cloudflare-Dashboard erfolgen, so dass es kaum irgendwelche Arbeit mit Ihrem Ende gibt.
  3. Optimierung von PageSpeed. Zusätzlich zur SSL-Sicherheit bietet die Cloudflare HTTPS-Implementierung auch einige zusätzliche Dienste, die PageSpeed-Scores und Seitenladezeit speichern können. Während traditionelle HTTPS (oder Let’s Encrypt) Implementierung hat oft negative Konsequenzen für Ihre Seite Ladezeit, bietet Cloudflare die Möglichkeit, automatisch sortieren JS, CSS und HTML; Beschleunigte mobile Seiten (AMP); und Rocket Loader für schnellere JS Ladezeit. Alle diese Funktionen (zusammen mit Cloudflare, die zwischengespeicherte Versionen Ihrer Website für Besucher präsentiert) wird dazu beitragen, erhöhte Seitenladezeit auf Ihrer Website zu verhindern.

Nachteile

  1. Die Verschlüsselung ist unvollständig. Wie Sie im obigen Bild sehen können, verschlüsselt Cloudflare die Verbindung zwischen dem Besucher und der zwischengespeicherten Version Ihrer Website in Cloudflare, verschlüsselt aber nicht die Verbindung zwischen Ihrer Website und Ihrem Server. Während dies bedeutet, dass Website-Besucher sich sicher fühlen können, während Sie Ihre Website besuchen, gibt es immer noch die Möglichkeit, dass Ihre Server-Verbindung unterbrochen wird. Obwohl Sie auf eine vollständige SSL-Implementierung aktualisieren können, die dieses Setup ermöglicht, ist es nicht Teil eines kostenlosen Dienstes.
  2. Sicherheitsfragen Cloudflare wurde Anfang dieses Jahres gehackt und zeigte eine Menge sensibler Benutzerinformationen. Obwohl es scheint, dass sie die Sicherheit seither abgeschlossen und verschärft haben, ist es immer noch wichtig, sich dieser Entwicklung bewusst zu sein.
  3. Mangel an Anpassung. Wie bei Let’s Encrypt, bietet der kostenlose Cloudflare SSL-Dienst nicht die grüne EV SSL-Bar-Typ für Ihre Website. Obwohl Sie auf eine vollständige SSL aktualisieren können, die diese Funktionalität bereitstellt, ist der Service zu diesem Zeitpunkt nicht mehr frei.

Welche Art von HTTPS-Implementierung ist am besten?

Es hängt wirklich von deiner Website ab. Kleinere Websites, die nur genügend Sicherheit benötigen, damit Google keine Websites in Chrome bestraft, sind wahrscheinlich mit Cloudflare zu verwenden. Das gleiche gilt für Agenturen, die HTTPS Empfehlungen für Kunden, wo Sie keine Kontrolle über die Entwicklung dieser Website. Auf der anderen Seite wollen E-Commerce-Sites oder große Publikationen eine vollständig angepasste HTTPS-Implementierung durch traditionelle Mittel (oder durch Wildcard-Zertifikat Let’s Encrypt, wenn es im nächsten Jahr passiert). Am Ende müssen Sie entscheiden, welche Umsetzung für Ihre Situation am sinnvollsten ist.

Vielen Dank für das Lesen, besuchen Sie den Originalartikel aus dieser Quelle Link.

Author: 

Related Posts

 

Leave a Reply