यह सब आपकी सुरक्षा आवश्यकताओं, उपयोगकर्ता की पसंद और अंतर्निहित डाउनग्रेडिंग के जोखिम के लिए नीचे आता है। पुराने सिफर सर्वर-साइड को अक्षम करना काफी हद तक आवश्यक है क्योंकि उपयोगकर्ता अनुभव / सुविधा के नाम पर ब्राउज़र खुशी से बिल्कुल भयानक सिफर क्लाइंट-साइड के माध्यम से गिर जाएगा। सुनिश्चित करें कि आपका कुछ भी नहीं है जो उपयोगकर्ता को एक सुरक्षित चैनल पर निर्भर करता है एक असुरक्षित विधि के साथ नहीं पहुंचा जा सकता है, ज़ाहिर है, बहुत ही ध्वनि भी।
स्पष्ट रूप से HTTP को असुरक्षित करने के लिए मुझे अनुमति नहीं दे रहा है जब मैंने समझा है कि आपका ब्लॉग पोस्ट आपको रूबी से अधिक क्यों पसंद है (आप ऐसा नहीं कर रहे हैं, बस एक सामान्य उदाहरण है) कुछ ऐसा नहीं है जो मुझे समझ में आता है या जनता को पता है मैंने एक्सेस किया है, बिना किसी अच्छे कारण के मेरे रास्ते में बस हो रही है, इस धारणा पर कि HTTPS मेरे लिए तुच्छ होगा।
आज, एम्बेडेड सिस्टम हैं, जो टीएलएस को बॉक्स से बाहर निकालने की क्षमता नहीं रखते हैं, या जो पुराने कार्यान्वयन पर अटके हुए हैं (मुझे लगता है कि यह बहुत बुरा है कि यह ऐसा है, लेकिन एम्बेडेड सम्मिलित करने की शक्ति उपयोगकर्ता के रूप में है यहाँ उपकरण], मैं कभी-कभी इसे बदल नहीं सकता)।
यहाँ एक मजेदार प्रयोग है: एक पुराने टीएलएस / एसएसएल कार्यान्वयन के साथ एचटीटीपीएस पर अपस्ट्रीम ओपनबीएसडी साइट से लिबरएसएसएल के हाल के संस्करण को डाउनलोड करने का प्रयास करें। आप नहीं कर पाएंगे। मैंने दूसरे दिन 2012 या उसके बाद के पुराने ओपनएसएसएल निर्माण वाले डिवाइस पर कोशिश की, क्योंकि मैं इस एम्बेडेड सिस्टम को स्रोत से अधिक सुरक्षित, नए सामान में अपग्रेड करना चाहता था - मेरे पास एक प्रीबिल्ट पैकेज का लक्जरी नहीं है। जब मैंने कोशिश की त्रुटि संदेश बिल्कुल सहज नहीं थे, लेकिन मुझे लगता है कि यह इसलिए था क्योंकि मेरे पुराने ओपनएसएसएल ने सही सामान का समर्थन नहीं किया था।
यह एक उदाहरण है, जहां केवल-HTTPS का चलन वास्तव में लोगों को परेशान कर सकता है: यदि आपके पास हाल के पूर्व-निर्मित पैकेजों की विलासिता नहीं है और स्रोत से निर्माण करके समस्या को स्वयं ठीक करना चाहते हैं, तो आप लॉक हो गए हैं। शुक्र है, लिबरएसएसएल मामले में, आप HTTP का अनुरोध करने के लिए स्पष्ट रूप से वापस आ सकते हैं। निश्चित रूप से, यह आपको पहले से ही आपके ट्रैफ़िक को फिर से लिखने वाले एक हमलावर से नहीं बचाएगा, जो कि समझौता किए गए संस्करणों के साथ स्रोत पैकेजों को बदलने में सक्षम है और HTTP निकायों में सभी चेकसमों को फिर से लिखना है जो आपके द्वारा ब्राउज़ किए जाने वाले वेबपेजों पर डाउनलोड के लिए उपलब्ध पैकेजों का वर्णन करते हैं, लेकिन यह अभी भी बहुत उपयोगी है अधिक सामान्य मामला।
हममें से अधिकांश एपीटी (एडवांस्ड परसेंट थ्रेड: राष्ट्रीय खुफिया एजेंसियों के लिए सुरक्षा शब्दजाल और अन्य अत्यंत अच्छी तरह से पुनर्विचारित साइबर खतरों) के स्वामित्व से एक असुरक्षित डाउनलोड नहीं हैं। कभी-कभी मैं बस wget
कुछ सादे पाठ प्रलेखन या एक छोटा कार्यक्रम चाहता हूं, जिसका स्रोत मैं जल्दी से अपने स्वयं के छोटे उपयोगिताओं / स्क्रिप्ट्स (GitHub पर स्क्रिप्ट, उदाहरण के लिए) एक बॉक्स पर ऑडिट कर सकता हूं जो सबसे हाल ही में सिफर सुइट्स का समर्थन नहीं करता है।
व्यक्तिगत रूप से, मैं यह पूछूंगा: क्या आपकी सामग्री ऐसी है कि कोई व्यक्ति वैध रूप से यह तय कर सकता है कि "मैं सार्वजनिक ज्ञान प्राप्त करने के लिए मेरे साथ ठीक हूं"? क्या गैर-तकनीकी लोगों को आपकी सामग्री के लिए दुर्घटनावश HTTP पर अपग्रेड करने के लिए वास्तविक जोखिम का एक संभावित मौका है? अपनी सुरक्षा आवश्यकताओं को लागू करें, आपके उपयोगकर्ताओं के लिए लागू की गई गोपनीयता-गोपनीयता, और उन उपयोगकर्ताओं की क्षमता के खिलाफ अंतर्निहित गिरावट का जोखिम जो असुरक्षित रूप से जाने के लिए मामले-दर-मामला आधार पर एक सूचित विकल्प बनाने के जोखिमों को समझते हैं। यह कहना पूरी तरह से वैध है कि आपकी साइट के लिए, HTTPS लागू नहीं करने का कोई अच्छा कारण नहीं है - लेकिन मुझे लगता है कि यह कहना उचित है कि वहाँ अभी भी सादे HTTP के लिए अच्छे उपयोग के मामले हैं।