路過一個生醫公司的購物頁面
發現居然不是用https
https://i.imgur.com/v8q6V8P.jpg
不過我也沒有送出訂單就是了
最近有個在做手工藝品的朋友來找我討論
說想開個品牌網站
裡面可能會有類似的網購服務(雖然我覺得不必要)
所以這陣子我也對這些電商感到興趣
但還不是很了解
想請教各位是不是有新技術取代https
還是說這生醫的網站只是單純沒用https而已?

一定要用https啦...

笑死

沒錢的用Let's encrypt應付先。不過如果用來賺錢的話，還是想法子籌錢買EV SSL唄。

他有https版本

不然就用shopline這種現成的電商平臺。

憑證是有效的～ 但圖片沒https

看出多少錢

https://certbot.eff.org就算不用 certbot 上 CloudFlare 也可以走 httpshttps://www.cloudflare.com/zh-tw/ssl/SSL 憑證內容點鎖頭應該都會顯示內容

chrome 左上 + console debug 就知道大概問題在哪了 很閒可以那工具掃一下 我猜有其他漏洞

但真有問題，例如：過期、CT有錯、電腦缺根憑證之類的瀏覽器第一時間會擋下不給你連線

free https 用traefik reverse proxy + letsencrypt就ok了 traefik docker支援不錯 不過不知道有沒有漏洞 畢竟接出docker.sock給traefik用 感覺毛毛der

可以 咚咚咚

星聚點的線上刷卡付費也不是https…

應該沒差吧？金流那塊有就好了

沒全站HTTPS不會有被網域綁架，導向非官方金流頁面的疑慮嗎？

沒用被駭客看到就等於自家大門敞開

有人想裸奔，是他的自由

他這個網站有 HTTPS 但是沒有 Force SSL有人說網站沒有 SSL 金流有就好 沒差吧那麼你的網站在特定的網路環境下 很有可能會遇上兩個問題例如：你的帳號密碼會因為連線過程未使用加密 HTTP封包會被攔截 有心人可以從裡面得到 Form Data 來知道你帳號密碼有些系統會因為安全強度要求 會在送出前做一定程度自製加密or混淆 但這種狀況很少見 大部分的系統不會做處理另一種情況是 封包會帶有 cookie有心人只要把 session id 抽出來就可以代替該使用者進行登入通常有些安全係數做比較高的 會去檢查IP來源跟過往、地區 或是 User Agent 不同 如果不同 就要求重新登入或做更進階的驗證程序https://i.imgur.com/nwXYofO.jpg所以 你覺得全站有沒有必要SSL 要 尤其是你有使用者登入機制的那類平台應該要有不過原文的網站其實是有SSL的 只是沒有導過去原PO可以去反應一下 給個建議或許也不錯這家牌子我喝過XD 但是沒空寫這個反應

這很簡單：1.憑證沒有問題，是被認可的憑證 2.僅是沒有開啟HSTS開啟HSTS，那個警告就會消失了

有無https只差在傳送資料過程中有沒有被加密 不過沒有https還是不會想用

不走SSL,不用HTTPS哪間金流會讓你用？？？只是不會全站都用，但一定都會有的

都2020年了還有人不是預設https阿

借問，經濟部網頁 https://www.ipas.org.tw/ 為什麼 fx 無法驗證但 chrome 可以？

可以阿 作法比較不一樣而已 嘻嘻嘻 高估https了

連我們公司都走 https 了，你電商還不走 https

不走 https 是要被看光嗎

.....啊有免費的憑證服務 你為何不用呢？

不走https有些串接可能不能用

經濟部網頁那個 現在只留3個cipher suite 我猜是firefox都不支援的關係 導致無法建立連線

去提醒他一下拉

土匪綁架user買cerdigrst不好嗎？

經濟部網頁 第二代GCA憑證 火狐沒有要自行下載吧剛測試了一下，重裝憑證不行，當我沒有說，拍謝@@

不安全的警示是因為 mixed content ，而不是因為沒有用 https

早期瀏覽器只要有抓到網頁有login form之類的東西會自動提示這個網頁不安全 並不是mixed content 甚至可以說在很早期的IE就實作跳轉上現在是照著https://developer.mozilla.org/zh-TW/docs/Web/Security/Mixed_content規格不過裝 SSL 沒什麼成本 而且還能運用伺服器自帶的 HTTP2 模組 提供 HTTPS 連線真的會比較好只有少數為了高併發或逼主機CPU使用量到極限會優先使用HTTP 不使用HTTPS^^ 高並發

免費的撐著用 我司就是