ПроблемаВ Сети шел 2015 год.
После откровений Сноудена,
интересных законов в
интересных странах, ряда громких уязвимостей в библиотеках безопасности правилом хорошего тона для админов стало внедрение https.
Ежели кто не в курсе, поясняю: серфинг сайтов по http значит, что весь ваш трафик и все передаваемые по нему данные видны как на
ладони копыте и снифаются с пол-пинка.
Поглядеть пароли? Пожалуйста.
Встроить в трафик рекламный баннер от непонятного WiFi? Запросто.
Провести XSS с дырявого форума? Ну, тоже реально.
Решение- добыть ssl-сертификат, либо платный за ≈$5, либо бесплатный от letsencrypt;
- настроить его;
- правильно прописать политики HSTS;
- радоваться.