Não importa. HTTPS protege mais do que dados de formulário! HTTPS mantém URLs, headers, e o conteúdo de todas as páginas transmitidas confidencial.
Não é por que seu site está hospedado em um lugar seguro que significa que ele não vai viajar por cabos e switches controlados por sabe-se-lá quantas entidades corporativas/estatais. Você realmente quer alguém injetando scripts, imagens ou propaganda em suas páginas? Ou usar seu site para atacar outros sites? Isso acontece: em linhas aéreas(um monte, sério), na China, e até os provedores de internet fazem isso (um monte). E HTTPS previne tudo isso. Ele garante integridade de dados e a habilidade de detectar adulteração. Se nós encriptássemos apenas conteúdo sigiloso, então pintaríamos um alvo nessas transmissões. Esconda quais transmissões possuem segredos encriptando todas as transmissões.
Isso é tão ruim quanto não usar HTTPS para início de conversa! Tudo que o invasor teria que fazer é alterar o link ou form action para uma URL em seu próprio servidor. Não há maneiras de detectar isso pois a transmissão ocorreria em HTTP. Encripte TODO o site e redirecione HTTP para HTTPS.
Ele funciona muito bem se você usar Caddy como seu web server. Sim, incluindo renovação de certificados. Mas não é obrigatório. Se não usares o Caddy, HTTPS ainda pode ser automatizado utilizando um cliente Let’s Encrypt de sua escolha.
Eles podem tentar, mas enquanto suas chaves privadas continuarem privadas, navegadores irão mostrar alertas se o invasor fornecer certificados diferentes ou certificados TLS inválidos. E se o invasor nem usar HTTPS, os navegadores devem marcar a página do impostor como insegura. Assim, o HTTPS garante autenticidade.
Sim eles são. Só não perca o controle sobre o seu DNS e escolha uma autoridade certificadora competente (ao invés de menos competentes ou problemáticas). Não há absolutamente nenhuma diferença na criptografia de um certificado DV comparado ao certificado Extended Validation(Validação Extendida).
Olhe, essa discussão não é sobre o sistema ICP(PKI). É o melhor sistema que temos no momento. Lide com isso e proteja seu site. Use Autorização da Autoridade Certificadora (CAA) para restringir quais autoridades podem emitir certificados para seu site, então cruze os dedos e espere que a transparência e fiscalização funcionem (funcionou até agora).
TLS 1.3 e HTTP/2 possuem padding frames para inflar o tamanho da cifra.
É claro que não. DNS != HTTP. Mas isso é realmente um argumento válido para não encriptar a conexão entre seu site e seus visitantes?? (Dica: não.)
Não, não é. Sites com servidores modernos são mais rápidos com HTTPS do que HTTP por causa do HTTP/2.
... então você não vai?
Desculpe, só que não. Não muda o fato de que seu site ainda precisa de HTTPS. Sevir seu site com HTTPS com ads ainda carregando via HTTP vai causar alertas de conteúdo misto, então melhor achar um jeito de dispensar aquela agência de propaganda cujo contrato parecia muito atrativo quando você assinou pela primeira vez, ou convencer sua agência a usar HTTPS antes que você.
Era isso que a Oil and Gas Internacional pensava também. Isso até os navegadores começarem a mostrar páginas HTTP como inseguras.
Apenas se o computador do usuário final for modificado para confiar no proxy TLS. Isso requer privilégios administrativos (root), então o dono do computador deve permitir isso. Além do mais, intercepção de HTTPS geralmente pode ser detectada por web servers.
A única razão que você deve abrir a porta 80 no seu servidor é para redirecionar todas as requisições para a porta 443 e então fechar a conexão na porta 80. (Talvez algum dia poderemos eliminar a porta 80 totalmente.)
O quanto você confia na corporação ou estado que controla a infraestrutura? E nas empresas que produziram o hardware que faz parte de sua rede? E no provedor de VPN?
Muito bom. Agora me diga que você está coletando as senhas via HTTPS… está, né?
Você está certo—HTTPS melhora o SEO! Trocar URLs do site de forma errada pode impactar nos rankings de pesquisas, mas HTTPS na verdade melhora-os. Apenas faça a troca de acordo com o motor de busca para o qual estás otimizando, e tudo vai funcionar normalmente, apenas com alguns efeitos colaterais temporários, no máximo.
É uma meia verdade. Não é APENAS trabalho do navegador. Navegadores podem deixar o usuário seguro contando que o servirdor providencie credenciais via certificado HTTPS. Como o dono do site, é sua responsabilidade providenciar essas credenciais para seus clientes.
O jeito mais fácil é pelo Let’s Encrypt e o servidor web Caddy, que habilita HTTPS para todos os seus sites automaticamente. Você ainda pode utilizar um simples script do client Let’s Encrypt chamado lego, que roda em todas as plataformas.
Se você prefere um pouco mais de configuração e integrações com servidores web mais tradicionais, o cliente Certbot, da EFF, vai servir bem.
Há muitas outras formas de ter seu site em HTTPS sem muito esforço. Das Surma tem um guia para vários web servers diferentes, e CDNs como o Cloudflare podem fazer seu site estar disponível via HTTPS com taxas mínimas (ou nenhuma).