Satu minggu yang lalu Google mengirimi saya email untuk membuka HTTPS. Jika saya tidak akan mentransfer HTTP ke HTTPS maka itu akan menunjukkan koneksi saya tanpa jaminan kepada semua pengunjung situs saya yang akan mencoba memasukkan teks di situs saya.

Tanpa menggunakan SSL, apakah ada cara lain untuk membuat koneksi saya aman? Karena ini terkait dengan proses yang mahal untuk menggunakan SSL di URL web, saya mencari opsi lain.

apakah ada cara lain untuk membuat koneksi saya aman?

Google tidak hanya mengeluh tentang "keamanan" (yang dapat mencakup sejumlah topik berbeda), tetapi juga secara khusus menargetkan enkripsi / HTTPS. Dengan HTTP sederhana, koneksi antara klien dan server tidak terenkripsi, memungkinkan siapa saja untuk berpotensi melihat dan mencegat apa pun yang dikirimkan. Biasanya hanya akan dipermasalahkan jika Anda mengizinkan pengguna untuk masuk (mis. Mengirimkan nama pengguna / kata sandi) atau mengirimkan informasi pembayaran melalui koneksi yang tidak dienkripsi. Pengiriman formulir "teks" umum tidak selalu menjadi masalah. Namun, seperti yang ditunjukkan @Kevin dalam komentar, Google / Chrome berencana untuk memperpanjang ini di masa mendatang :

Akhirnya, kami berencana untuk memberi label pada semua halaman HTTP sebagai tidak aman, dan mengubah indikator keamanan HTTP ke segitiga merah yang kami gunakan untuk HTTPS yang rusak.

Menginstal sertifikat SSL di situs Anda (atau menggunakan proxy front-end seperti Cloudflare untuk menangani SLL) adalah satu - satunya cara untuk mengenkripsi lalu lintas ke situs Anda.

Namun, ini belum tentu merupakan "proses mahal" hari ini. Cloudflare memiliki opsi "gratis" dan Let's Encrypt adalah Otoritas Sertifikat gratis yang didukung banyak host secara default.

Saya tidak merekomendasikan, tetapi Anda dapat mem-bypass pesan ini, dengan tidak menggunakan kolom teks input asli. Anda dapat membuat bidang input Anda sendiri, menggunakan reguler divyang memiliki onkeypressacara. Atau Anda dapat membuat divelemen yang contenteditableatributnya ditetapkan true.

Dengan cara ini, pengguna dapat memasukkan informasi di situs Anda, tanpa menggunakan inputelemen tag.

Jika Anda hanya menyajikan file statis atau dapat meletakkan proxy di depan, Anda dapat menggunakan server seperti server caddy yang menangani semua ini untuk Anda dengan menggunakan memungkinkan enkripsi, ini menghilangkan rasa sakit dari penyediaan sertifikat dan Anda tidak perlu instal perangkat lunak lain apa pun.

Atau Anda dapat menggunakan layanan seperti cloudflare - paket gratis mereka menawarkan https gratis.

Akhirnya, beberapa host menawarkan sertifikat https gratis sekarang, termasuk dreamhost . Jadi, periksa apakah host Anda saat ini menawarkan ini sebagai opsi.

Saya tidak akan merekomendasikan mencoba mencari solusi, hanya ada satu cara untuk membuat situs Anda aman, dan browser pada akhirnya akan memperingatkan pada setiap situs yang tidak memiliki https, apa pun kontennya. Web bergerak menuju https di mana-mana.

tampaknya tidak ada orang lain yang menyebutkan,

jika Anda memiliki setiap mesin yang terhubung ke situs Anda

, seperti pengaturan perusahaan, Anda dapat membuat otoritas sertifikat Anda sendiri, instal sertifikat publik itu ke semua mesin (baik ke semua browser dan toko cert) yang terhubung ke situs Anda. opsi ini bebas dari monetisasi pihak ketiga; itu enkripsi sandi yang sama, Anda tidak masuk ke kepercayaan publik (mis. otoritas Anda tidak dikenali oleh Google Chrome, Mozilla Firefox dll, seperti yang dilakukan Let's Encrypts), tetapi itu akan dikenali oleh mesin yang Anda konfigurasikan untuk memercayai diri sendiri .

memang kesepakatan untuk mendirikan otoritas sertifikat agak rumit dan pemeliharaan bisa jadi banyak pekerjaan - jadi saya akan meninggalkannya di sini, Anda mungkin sebaiknya melakukan riset menyelam dalam pada topik yang benar-benar Anda minati dalam pendekatan ini.

meskipun untuk penyebaran nieve, jika Anda dapat mencoba XCA

• Untuk Debian: https://packages.debian.org/stretch/xca
• situs resmi: http://xca.sourceforge.net/

XCS adalah cara yang layak untuk mengeluarkan sertifikat untuk penyebaran kecil dan termasuk dokumentasi bantuan yang berjalan melalui seluruh pengaturan.

Saya punya beberapa ide.

Jika alasan HTTPS adalah untuk mengelola login, maka Anda dapat meminimalkan efek di semua browser dengan menawarkan pengguna untuk tetap masuk. Kemudian ketika pengguna login, cookie dapat disimpan secara permanen di komputer pengguna sehingga pada saat berikutnya pengguna menyalakan komputernya untuk mengakses situs, ia akan secara otomatis login bukannya selalu disajikan dengan prompt login dan mungkin peringatan keamanan.

Gagasan lain yang dapat mem-bypass pesan tetapi yang akan lebih berfungsi baik pada tamu dan server adalah membuat tamu mengunggah file khusus dengan konfigurasi yang tepat dienkripsi. Misalnya, untuk layar masuk, alih-alih meminta pengguna untuk memasukkan nama pengguna dan kata sandi dalam dua kotak teks, minta pengguna mengunggah file kecil yang berisi nama pengguna dan kata sandi yang dienkripsi (misalnya, mengompres nama pengguna dan kata sandi sebagai kode pos). file dengan tingkat kompresi tertentu) maka server dapat mendekripsi file untuk mengekstrak nama pengguna dan kata sandi. Peretas potensial akan melihat omong kosong dalam perjalanan ketika pengguna mengirim file ke server. Hanya sedikit keuntungan dari ide ini adalah kecepatan koneksi yang sedikit lebih cepat karena pemrosesan koneksi SSL tidak terjadi di HTTP.

Tidak.

Setiap retas yang Anda coba (mis. Seperti mencoba mengenkripsi dengan javascript), sangat tidak mungkin bahkan mendekati aman.

SSL tidak harus "mahal", banyak penyedia hosting menawarkannya secara gratis. Dan bahkan hal-hal seperti cloudflare menawarkan SSL gratis, dan menjaga hosting saat ini.

Solusi gratis dan cepat adalah Let's Encrypt. Tautan Mereka memiliki dokumentasi untuk hampir setiap OS server. Kami menggunakannya di tempat kerja kami, dan vendor W2P kami menggunakannya untuk mengamankan setiap etalase kami.