Каковы потенциальные недостатки SSL/TLS?

Безопасность является одним из наиболее важных соображений для любого, кто создает физический магазин. Вы должны принять адекватные меры для защиты ваших клиентов, сотрудников, товаров, денег, активов и репутации. Это ничем не отличается для веб-сайта. Незащищенный сайт уязвим для широкого спектра угроз — даже больше, чем физический магазин. SSL (Secure Socket Layer) и его преемник TLS (Transport Layer Security) зарекомендовали себя как одно из наиболее эффективных средств защиты веб-сайта. SSL/TLS стал настолько неотъемлемой частью онлайн-безопасности, что ведущие браузеры, такие как Google Chrome, помечают сайт как небезопасный, если он работает по протоколу HTTP, а не HTTPS. Более 70% страниц, загружаемых в Google Chrome, защищены с помощью SSL/TLS, что является феноменальной статистикой, если учесть, что всего десять лет назад лишь небольшая часть веб-сайтов была защищена с помощью SSL/TLS.

Существует широкий консенсус в отношении преимуществ SSL/TLS. Тем не менее, есть недостатки. Недостаткам SSL/TLS уделялось не так много внимания, из-за чего многие компании, внедряющие SSL/TLS, были застигнуты врасплох недостатками. Таким образом, несмотря на то, что SSL/TLS делает веб-сайт более безопасным, важно осознавать потенциальные недостатки. Таким образом, вы можете заранее установить соответствующие смягчающие меры.

1. SSL/TLS имеет уязвимости

SSL/TLS может значительно защитить ваш сайт от атак. Тем не менее, у него есть уязвимости, особенно в более старых версиях SSL, которые предшествовали TLS. Также имеет значение, как реализован SSL/TLS. Многие атаки на SSL/TLS были сосредоточены на использовании пробелов в реализации. Некоторые, однако, пробили защиту сайта, используя известные уязвимости SSL.

Например, уязвимость POODLE использует склонность SSL 3.0 игнорировать байты заполнения при работе в режиме CBC (цепочка блоков шифрования). TLS более безопасен, чем SSL, но, в конечном счете, это технология, поэтому у нее есть и будут свои недостатки.

Все это означает, что наличие SSL/TLS не дает веб-сайтам лицензии на самоуспокоенность в предположении, что все их проблемы с безопасностью исчезли.

2. Падение скорости

SSL/TLS увеличивает время загрузки веб-страниц в браузере. Когда браузер впервые подключается к защищенному SSL/TLS веб-серверу, безопасный сеанс инициируется клиентским компьютером и веб-сервером. Этот предварительный процесс включает в себя сложную процедуру подтверждения связи, которая в конечном итоге приводит к безопасному соединению. Когда соединение установлено, и клиентский компьютер, и веб-сервер должны зашифровать и расшифровать информацию, прежде чем она станет доступной для чтения на любом конце соединения.

Падение скорости относительно небольшое, особенно если веб-сервер и клиентский компьютер имеют хорошую скорость процессора, сайт не имеет большого пользовательского трафика или если подключение к Интернету быстрое. Однако это не так, когда есть высокий трафик посетителей или вычислительные ресурсы с более низкими характеристиками. Таким образом, SSL/TLS может значительно увеличить время, необходимое для полной загрузки веб-страницы.

3. Позволяет небезопасное шифрование

SSL/TLS позволяет клиентскому компьютеру и веб-серверу решать, какую форму шифрования они хотели бы использовать для соединения. Многие стандарты шифрования, поддерживаемые SSL/TLS, чрезвычайно надежны и безопасны. Однако SSL/TLS позволит неправильно сконфигурированному серверу или устаревшему программному обеспечению выбрать метод шифрования, который далеко не соответствует уровню защиты, необходимому для современных угроз.

Что еще хуже, человек, посещающий веб-сайт, может даже не осознавать, что он подключен через стандарт шифрования ниже номинала. Пока соединение находится под SSL/TLS, их браузер пометит соединение как безопасное, даже если знающему злоумышленнику не составит труда взломать его.

4. Падение трафика

Многие эксперты рекомендуют после того, как вы внедрите SSL/TSL на своем сайте, вы должны удалить и повторно добавить сайт (или изменить адрес) в Инструментах Google для веб-мастеров. Отправьте новую карту сайта, чтобы принудительно выполнить повторную индексацию веб-сайта с новыми URL-адресами HTTPS. Хотя это действие важно для точного индексирования веб-страниц, оно может привести к резкому падению поискового трафика.

Скорее всего, это краткосрочная проблема, и в конечном итоге цифры вырастут до своих предыдущих уровней. Хотя нет гарантии, что это произойдет быстро. Таким образом, вам, возможно, придется готовиться к более низкому трафику, чем раньше. Для бизнеса это может означать снижение продаж.

5. Проблемы с плагином

Если ваш веб-сайт зависит от нескольких плагинов, вы можете столкнуться с проблемами, если будете применять SSL/TSL ко всему сайту. Многие старые версии плагинов не были созданы с учетом перехода на HTTPS.

Это может привести к многочисленным ошибкам, которые можно устранить, только обновив плагин до последней версии, обратившись напрямую к разработчику плагина за исправлением, полностью удалив плагин или заменив его альтернативным плагином, который будет служить той же цели.

6. Небезопасные плагины для обмена в социальных сетях

Некоторые плагины социальных сетей зависят от небезопасных URL-адресов для своих различных всплывающих окон. Когда эти небезопасные всплывающие окна используются на сайте, защищенном SSL/TSL, они могут препятствовать отображению значков социальных сетей для пользователей, вызывать ошибки содержимого или вызывать предупреждения безопасности страницы браузера.

Даже если у пользователя есть возможность продолжить процесс, предупреждения о безопасности и ошибки в содержании могут вызвать некоторые опасения по поводу общего качества веб-сайта. Следовательно, как минимум, это может нанести ущерб репутации вашего сайта и, если его быстро не исправить, приведет к устойчивому снижению трафика.

7. Проблемы смешанных режимов

Обсуждаемая нами проблема с плагином для обмена в социальных сетях — это лишь один из примеров проблем смешанного режима. При просмотре сайта, защищенного SSL/TLS, вы можете увидеть предупреждение о том, что сайт обслуживает незащищенный контент. Это было особенно большой проблемой с рекламными сетями в прошлом, хотя сегодня гораздо меньше.

Обычно это происходит не потому, что веб-сайт является лживым, вводящим в заблуждение или вообще не несет никакой пользы. Скорее, это результат загрузки активов из сервисов и сайтов, которые не зашифрованы. Веб-браузер, в духе полной прозрачности, хочет, чтобы пользователи знали, что они не могут полностью полагаться на SSL/TLS из-за щели в броне.

8. Недостатки стоимости SSL/TLS

Настройка SSL/TLS на вашем сайте не бесплатна. Центры сертификации SSL/TLS должны были создать необходимую инфраструктуру для проверки вашей личности. Вполне естественно, что как коммерческие организации они должны возместить эти затраты. Вы, конечно, можете создавать свои собственные SSL/TLS-сертификаты, но, будучи неизвестным лицом без устоявшейся репутации, вам будет сложно убедить другие сайты доверять вам.

Несмотря на то, что возросшая конкуренция в отрасли SSL/TLS с годами резко снизила цены, вам все равно придется платить за эту услугу. Фактическая сумма, которую вы заплатите, будет зависеть от количества доменов и субдоменов, на которые распространяется сертификат SSL/TSL, а также от степени проверки личности.

SSL/TLS по-прежнему лучшая альтернатива

Преимущества SSL/TLS намного перевешивают недостатки. Любой, кто зайдет на ваш сайт и увидит зеленый замок в адресной строке, поймет, что вы серьезно относитесь к безопасности сайта. Это дает им уверенность в продолжении транзакции, ввода данных и просмотра. Тем не менее, очень важно, чтобы вы также осознавали и недостатки, если хотите извлечь максимальную выгоду из перехода вашего веб-сайта на SSL/TLS.