SSL, Google Chrome и «незащищенные» страницы/формы

Question

Google states in their security blog, что они будут, начиная с 2017 года, чтобы отметить

"HTTP страниц, которые собирают пароли или кредитные карты, как небезопасные, как часть из долгосрочного плана, чтобы пометить все HTTP-сайты, как небезопасные. "

поскольку наши страницы только включение электронной почты-SIGNUP-формы я не уверен, как к этому относится ли нам вообще и/или мы следует подумать о добавлении SSL-сертификата для обеспечения безопасности наших пользовательских записей (r).

Помимо некоторых SEO-преимуществ и HTTPS, создающих требование для использования HTTP/2, мне интересно, когда может быть подходящее время для включения SSL-сертификата - каковы ваши впечатления и мысли об этом? Какие другие технические аспекты работают в этом?

Answer 1

Согласно блоге безопасности Google:

В конце концов, мы планируем пометить все страницы HTTP как незащищенный, и изменить индикатор безопасности HTTP на красный треугольник, который мы используем для сломаны HTTPS

Поэтому целесообразно перейти от простого HTTP к HTTPS и реализовать политику HSTS для обеспечения использования HTTPS на вашем сайте. Политика подсказывает клиенту всегда подключаться через HTTPS, даже если злоумышленник пытается понизить соединение до простого HTTP, чтобы обмануть куки.

Что касается изменения в январе 2017 года, я бы предположил, что Chrome будет искать поля или формы, которые, как представляется, собирают номера карт (например, имена полей, обычно используемые в таких формах), чтобы решить, следует ли отображать предупреждение.