Há uma semana, o Google me enviou um email para usar HTTPS. Se eu não transferir o HTTP para HTTPS, ele mostrará minha conexão não segura a todos os visitantes do site que tentarão inserir texto no meu site.

Sem usar SSL, existe outra maneira de tornar minha conexão segura? Como está relacionado ao processo oneroso de usar SSL no URL da web, estou procurando por qualquer outra opção.

existe alguma outra maneira de tornar minha conexão segura?

O Google não está apenas reclamando da "segurança" (que pode incluir vários tópicos diferentes), mas também direcionando especificamente a criptografia / HTTPS. Com o HTTP simples, a conexão entre o cliente e o servidor não é criptografada, permitindo que qualquer pessoa veja e intercepte tudo o que for enviado. Normalmente, isso só é solicitado se você estiver permitindo que os usuários efetuem login (por exemplo, enviando nome de usuário / senha) ou enviando informações de pagamento por uma conexão não criptografada. O envio geral de formulários de "texto" não seria necessariamente um problema. No entanto, como @Kevin apontou nos comentários, o Google / Chrome planeja estender isso no futuro :

Por fim, planejamos rotular todas as páginas HTTP como não seguras e alteramos o indicador de segurança HTTP para o triângulo vermelho que usamos para HTTPS quebrado.

Instalar um certificado SSL no seu site (ou usar um proxy front-end como o Cloudflare para lidar com a SLL) é a única maneira de criptografar o tráfego do seu site.

No entanto, esse não é necessariamente um "processo caro" atualmente. O Cloudflare tem uma opção "grátis" e o Let's Encrypt é uma Autoridade de Certificação gratuita que muitos hosts suportam por padrão.

Não recomendo, mas você pode ignorar esta mensagem, não usando os campos de texto de entrada originais. Você pode criar seus próprios campos de entrada, usando regulares divque possuem onkeypressevento. Ou você pode criar um divelemento com o contenteditableatributo definido como true.

Dessa forma, os usuários poderão inserir informações no seu site, sem usar inputelementos de tag.

Se você está apenas servindo arquivos estáticos ou pode colocar um proxy à frente, pode usar um servidor como o servidor caddy, que lida com tudo isso usando o lets encrypt, isso reduz o esforço de aprovisionamento de certificados e você não precisa instale qualquer outro software.

Como alternativa, você pode usar um serviço como o cloudflare - o plano gratuito oferece https grátis.

Finalmente, alguns hosts oferecem certificados https gratuitos agora, incluindo o dreamhost . Portanto, verifique se o seu host atual oferece isso como uma opção.

Eu não recomendaria tentar encontrar uma solução alternativa, existe apenas uma maneira de tornar seu site seguro, e os navegadores receberão um aviso em todos os sites que não possuem https, independentemente do conteúdo. A web está avançando para https em qualquer lugar.

ninguém mais parece ter mencionado,

se você possui todas as máquinas que se conectam ao seu site

, como uma configuração corporativa, você pode criar sua própria autoridade de certificação, instalar seu certificado público em todas as máquinas (em todos os navegadores e lojas de certificados) que se conectam ao seu site. essa opção está livre de monetização de terceiros; é a mesma cifra de criptografia, mas você ainda não está logado na confiança pública (por exemplo, sua autoridade não é reconhecida pelo Chrome do Google, Firefox da Mozilla etc. .

é certo que as negociações para a criação de uma autoridade de certificação são complicadas, um tanto obscuras e a manutenção pode dar muito trabalho; portanto, deixarei aqui de fora. nesta abordagem.

embora para uma implantação nieve, se você puder experimentar o XCA

• Para Debian: https://packages.debian.org/stretch/xca
• site oficial: http://xca.sourceforge.net/

O XCS é uma maneira decente de emitir certificados para pequenas implantações e inclui documentação de ajuda que percorre toda a instalação.

Eu tenho algumas idéias.

Se o motivo do HTTPS for gerenciar logins, você poderá minimizar o efeito em todos os navegadores oferecendo que os usuários permaneçam conectados. Quando um usuário fizer login, um cookie poderá ser permanentemente armazenado no computador do usuário, para a próxima vez que o usuário ligar o computador para acessar o site, ele entraria automaticamente em vez de sempre receber um prompt de login e possivelmente um aviso de segurança.

Outra idéia que pode ignorar a mensagem, mas que seria mais trabalhosa para o convidado e para o servidor, é fazer com que um convidado carregue um arquivo especial com a configuração adequada criptografada. Por exemplo, para a tela de login, em vez de solicitar ao usuário que digite seu nome de usuário e senha em duas caixas de texto, faça com que ele faça upload de um pequeno arquivo que contenha seu nome de usuário e senha criptografados (por exemplo, compactando o nome de usuário e a senha como um zip com um nível de compactação específico), o servidor pode descriptografar o arquivo para extrair o nome de usuário e a senha. O hacker em potencial verá bobagens em trânsito quando o usuário enviar o arquivo para o servidor. Apenas uma pequena vantagem dessa idéia é uma velocidade de conexão um pouco mais rápida, pois o processamento da conexão SSL não ocorre no HTTP.

Não.

Qualquer invasão que você tentar (por exemplo, tentar criptografar com javascript), é muito improvável que esteja perto de ser segura.

O SSL não precisa ser "caro", muitos provedores de hospedagem o oferecem gratuitamente. E até coisas como cloudflare oferecem SSL grátis e mantêm a hospedagem atual.

Uma solução rápida e gratuita é Let's Encrypt. Link Eles têm documentação para quase todos os sistemas operacionais de servidor. Nós o usamos em nosso trabalho e nossos fornecedores de W2P o utilizam para proteger cada uma de nossas fachadas de lojas.