→ hegemon: 一定要用https啦...05/20 12:44
推 aidansky0989: 笑死05/20 12:48
→ jobintan: 沒錢的用Let's encrypt應付先。05/20 12:49
我來研究一下
→ jobintan: 不過如果用來賺錢的話,還是想法子籌錢買EV SSL唄。05/20 12:50
推 king22649: 他有https版本05/20 12:51
→ jobintan: 不然就用shopline這種現成的電商平臺。05/20 12:51
推 king22649: 憑證是有效的~ 但圖片沒https05/20 12:53
請問如何看憑證是否有效?
推 aleelyle: 看出多少錢05/20 12:56
該公司的官方網站是有https的
但購物頁面反而沒有 蠻有趣的
※ 編輯: sjerrysss (118.233.20.34 臺灣), 05/20/2020 13:01:31
※ 編輯: sjerrysss (118.233.20.34 臺灣), 05/20/2020 13:01:53
→ guanting886: 就算不用 certbot 上 CloudFlare 也可以走 https 05/20 13:12
推 guanting886: SSL 憑證內容點鎖頭應該都會顯示內容 05/20 13:14
推 king22649: chrome 左上 + console debug 就知道大概問題在哪了 很 05/20 13:15
→ king22649: 閒可以那工具掃一下 我猜有其他漏洞 05/20 13:15
推 guanting886: 但真有問題,例如:過期、CT有錯、電腦缺根憑證之類 05/20 13:16
→ guanting886: 的 05/20 13:16
→ guanting886: 瀏覽器第一時間會擋下不給你連線 05/20 13:16
→ king22649: free https 用traefik reverse proxy + letsencrypt就o 05/20 13:18
→ king22649: k了 traefik docker支援不錯 不過不知道有沒有漏洞 畢 05/20 13:18
→ king22649: 竟接出docker.sock給traefik用 感覺毛毛der 05/20 13:18
→ superpandal: 可以 咚咚咚 05/20 13:46
推 philip80220: 星聚點的線上刷卡付費也不是https… 05/20 14:09
推 leo5916267: 應該沒差吧?金流那塊有就好了 05/20 14:31
推 pig0038: 沒全站HTTPS不會有被網域綁架,導向非官方金流頁面的疑 05/20 15:39
→ pig0038: 慮嗎? 05/20 15:39
推 max9527: 沒用被駭客看到就等於自家大門敞開 05/20 16:21
推 neo5277: 有人想裸奔,是他的自由 05/20 16:33
推 guanting886: 他這個網站有 HTTPS 但是沒有 Force SSL 05/20 16:58
→ guanting886: 有人說網站沒有 SSL 金流有就好 沒差吧 05/20 16:58
→ guanting886: 那麼你的網站在特定的網路環境下 很有可能會遇上兩 05/20 16:59
→ guanting886: 個問題 05/20 16:59
→ guanting886: 例如:你的帳號密碼會因為連線過程未使用加密 HTTP 05/20 17:00
→ guanting886: 封包會被攔截 有心人可以從裡面得到 Form Data 來 05/20 17:00
→ guanting886: 知道你帳號密碼 05/20 17:00
→ guanting886: 有些系統會因為安全強度要求 會在送出前做一定程度 05/20 17:02
→ guanting886: 自製加密or混淆 但這種狀況很少見 大部分的系統不會 05/20 17:02
→ guanting886: 做處理 05/20 17:02
→ guanting886: 另一種情況是 封包會帶有 cookie 05/20 17:02
→ guanting886: 有心人只要把 session id 抽出來就可以代替該使用者 05/20 17:03
→ guanting886: 進行登入 05/20 17:03
→ guanting886: 通常有些安全係數做比較高的 會去檢查IP來源跟過往、 05/20 17:04
→ guanting886: 地區 或是 User Agent 不同 如果不同 就要求重新登入 05/20 17:04
→ guanting886: 或做更進階的驗證程序 05/20 17:04
→ guanting886: 所以 你覺得全站有沒有必要SSL 要 尤其是你有使用 05/20 17:06
→ guanting886: 者登入機制的那類平台應該要有 05/20 17:06
→ guanting886: 不過原文的網站其實是有SSL的 只是沒有導過去 05/20 17:07
→ guanting886: 原PO可以去反應一下 給個建議或許也不錯 05/20 17:07
→ guanting886: 這家牌子我喝過XD 但是沒空寫這個反應 05/20 17:08
推 zased: 這很簡單:1.憑證沒有問題,是被認可的憑證 2.僅是沒有開 05/20 17:48
→ zased: 啟HSTS 05/20 17:48
→ zased: 開啟HSTS,那個警告就會消失了 05/20 17:49
推 bill0205: 有無https只差在傳送資料過程中有沒有被加密 不過沒有ht 05/20 18:51
→ bill0205: tps還是不會想用 05/20 18:51
推 lovez04wj06: 不走SSL,不用HTTPS哪間金流會讓你用??? 05/20 23:13
→ lovez04wj06: 只是不會全站都用,但一定都會有的 05/20 23:14
→ x000032001: 都2020年了還有人不是預設https阿 05/21 00:04
→ sppmg: 法驗證但 chrome 可以? 05/21 00:12
→ superpandal: 可以阿 作法比較不一樣而已 嘻嘻嘻 高估https了 05/21 04:23
推 mathrew: 連我們公司都走 https 了,你電商還不走 https 05/21 06:35
推 b85040312: 不走 https 是要被看光嗎 05/21 06:50
推 ted1231: .....啊有免費的憑證服務 你為何不用呢? 05/21 07:57
推 king22649: 不走https有些串接可能不能用 05/21 13:27
→ SlimeEditor: 經濟部網頁那個 現在只留3個cipher suite 我猜是 05/21 14:30
→ SlimeEditor: firefox都不支援的關係 導致無法建立連線 05/21 14:30
→ wahahahaaa: 去提醒他一下拉 05/21 17:03
推 kingofsdtw: 土匪綁架user買cer 05/21 19:58
→ kingofsdtw: digrst不好嗎? 05/21 19:58
推 pizzahut: 經濟部網頁 第二代GCA憑證 火狐沒有要自行下載吧 05/21 23:50
推 pizzahut: 剛測試了一下,重裝憑證不行,當我沒有說,拍謝@@ 05/22 00:10
推 aldy120: 不安全的警示是因為 mixed content ,而不是因為沒有用 h 05/22 00:18
→ aldy120: ttps 05/22 00:18
推 guanting886: 早期瀏覽器只要有抓到網頁有login form之類的東西會 05/22 00:24
→ guanting886: 自動提示這個網頁不安全 並不是 05/22 00:24
→ guanting886: mixed content 甚至可以說在很早期的IE就實作跳轉上 05/22 00:25
→ guanting886: 現在是照著 05/22 00:26
→ guanting886: rity/Mixed_content 05/22 00:26
→ guanting886: 規格 05/22 00:27
推 guanting886: 不過裝 SSL 沒什麼成本 而且還能運用伺服器自帶的 HT 05/22 00:30
→ guanting886: TP2 模組 提供 HTTPS 連線真的會比較好 05/22 00:30
推 guanting886: 只有少數為了高併發或逼主機CPU使用量到極限 05/22 00:35
→ guanting886: 會優先使用HTTP 不使用HTTPS 05/22 00:35
→ guanting886: ^^ 高並發 05/22 00:35
推 mrji3g4xjp6: 免費的撐著用 我司就是 05/29 07:10