路过一个生医公司的购物页面
发现居然不是用https
https://i.imgur.com/v8q6V8P.jpg
不过我也没有送出订单就是了
最近有个在做手工艺品的朋友来找我讨论
说想开个品牌网站
里面可能会有类似的网购服务(虽然我觉得不必要)
所以这阵子我也对这些电商感到兴趣
但还不是很了解
想请教各位是不是有新技术取代https
还是说这生医的网站只是单纯没用https而已?

一定要用https啦...

笑死

没钱的用Let's encrypt应付先。不过如果用来赚钱的话，还是想法子筹钱买EV SSL呗。

他有https版本

不然就用shopline这种现成的电商平台。

凭证是有效的～ 但图片没https

看出多少钱

https://certbot.eff.org就算不用 certbot 上 CloudFlare 也可以走 httpshttps://www.cloudflare.com/zh-tw/ssl/SSL 凭证内容点锁头应该都会显示内容

chrome 左上 + console debug 就知道大概问题在哪了 很闲可以那工具扫一下 我猜有其他漏洞

但真有问题，例如：过期、CT有错、电脑缺根凭证之类的浏览器第一时间会挡下不给你连线

free https 用traefik reverse proxy + letsencrypt就ok了 traefik docker支援不错 不过不知道有没有漏洞 毕竟接出docker.sock给traefik用 感觉毛毛der

可以 咚咚咚

星聚点的线上刷卡付费也不是https…

应该没差吧？金流那块有就好了

没全站HTTPS不会有被网域绑架，导向非官方金流页面的疑虑吗？

没用被骇客看到就等于自家大门敞开

有人想裸奔，是他的自由

他这个网站有 HTTPS 但是没有 Force SSL有人说网站没有 SSL 金流有就好 没差吧那么你的网站在特定的网络环境下 很有可能会遇上两个问题例如：你的帐号密码会因为连线过程未使用加密 HTTP封包会被拦截 有心人可以从里面得到 Form Data 来知道你帐号密码有些系统会因为安全强度要求 会在送出前做一定程度自制加密or混淆 但这种状况很少见 大部分的系统不会做处理另一种情况是 封包会带有 cookie有心人只要把 session id 抽出来就可以代替该使用者进行登入通常有些安全系数做比较高的 会去检查IP来源跟过往、地区 或是 User Agent 不同 如果不同 就要求重新登入或做更进阶的验证程序https://i.imgur.com/nwXYofO.jpg所以 你觉得全站有没有必要SSL 要 尤其是你有使用者登入机制的那类平台应该要有不过原文的网站其实是有SSL的 只是没有导过去原PO可以去反应一下 给个建议或许也不错这家牌子我喝过XD 但是没空写这个反应

这很简单：1.凭证没有问题，是被认可的凭证 2.仅是没有开启HSTS开启HSTS，那个警告就会消失了

有无https只差在传送资料过程中有没有被加密 不过没有https还是不会想用

不走SSL,不用HTTPS哪间金流会让你用？？？只是不会全站都用，但一定都会有的

都2020年了还有人不是默认https阿

借问，经济部网页 https://www.ipas.org.tw/ 为什么 fx 无法验证但 chrome 可以？

可以阿 作法比较不一样而已 嘻嘻嘻 高估https了

连我们公司都走 https 了，你电商还不走 https

不走 https 是要被看光吗

.....啊有免费的凭证服务 你为何不用呢？

不走https有些串接可能不能用

经济部网页那个 现在只留3个cipher suite 我猜是firefox都不支援的关系 导致无法建立连线

去提醒他一下拉

土匪绑架user买cerdigrst不好吗？

经济部网页 第二代GCA凭证 火狐没有要自行下载吧刚测试了一下，重装凭证不行，当我没有说，拍谢@@

不安全的警示是因为 mixed content ，而不是因为没有用 https

早期浏览器只要有抓到网页有login form之类的东西会自动提示这个网页不安全 并不是mixed content 甚至可以说在很早期的IE就实作跳转上现在是照着https://developer.mozilla.org/zh-TW/docs/Web/Security/Mixed_content规格不过装 SSL 没什么成本 而且还能运用服务器自带的 HTTP2 模组 提供 HTTPS 连线真的会比较好只有少数为了高并发或逼主机CPU使用量到极限会优先使用HTTP 不使用HTTPS^^ 高并发

免费的撑著用 我司就是