پاسخ : چرا باید از http به https کوچ کنیم
توصیه به SSL خوب بود. اما شما موضوع بی ربط دیگری را با ویرایش به این توصیه خوب خودتان چسبانده اید که دلیلش رو متوجه نشدم:
گوگل خودش مدت هاست اعلام کرده است که از آوریل نسبت به مقابله با سایت هایی که از sha1 استفاده می کنند برای رمزنگاری مقابله خواهد کرد. اتفاقا این امر شامل سایت های دارای ssl می باشد! که صادر کننده گواهینامه های آنها از sha1 استفاده کرده باشند.در دو ماه گذشته بدون هیچ دلیل مشخصی، ت
https://security.googleblog.com/2017...collision.html
اما شما در ابتدا مطلب برعکسش کردید و این را به اشتباه بهانه ای کردید برای مهاجرت به SSL. البته باز تاکید می کنم SSL عالیست و باید مورد استفاده قرار بگیرد.
این که شما زمان کانفیگ TLSیا SSL2 و... را می بندید، (احتمالا به خاطر توصیه CSF) اصلا ارتباطی با باگ یا نا امن بودن SSL ندارد. موضوع بر سر سایبر سکیورتی و مانیتورینگ ترافیک است نه انکرایپشن. اگر نه هم TLS هم SSL هر دو کریپتوگرافیکال بر اساس X.509 هستند و تفاوتی از این حیث بین آنها وجود ندارد.فعال شدن https روی سرور = باز شدن درگاه جدید برای هکر های محترم
به قدری باگ در سیستم عامل ها برای این پروتوکل وجود داره که نگو و نپرس.
و باید بصورت دستی تنظیم و فیکس شوند.
درک نمیکنم چرا مرور گر ها و شرکت های بزرگ دارن زور میکنن
بحث ماینتورینگ ترافیک هم یک بحث رده بالاست که بیشتر توش موضوع " رهگیری پذیری بودن" اهمیت دارد، بحث نفوذ یا شکستن SSL نیست. مثلا همین SHA1 که اخیرا اینقدر منفور گوگل شده است سالهاست بحث شکست پذیریش وجود دارد اما تهدیدی برای سایبر سکیورتی نبود، اما امروزه هست. اگر نه با همان متد SHA2 هم شکست پذیر است اما خوب فعلا SHA2 تهدید برای سایبر سکیوریتی نیست! (با توجه به زمان و هزینه بالاتری که نیاز هست برای شکستش).
بنابراین اصلا اینطور تعبیر نکیند که SSL یک حفره امنیتی برای شما یا خطر محسوب میشود!
البته برخی دیگر از دوستان هم گویا کلا بی خبر بودند از جریانات SSL2 یا TLS و...
پاسخ با نقل قول