Solo lea este artículo en Google Analytics y el Riesgo de certificados falsificados , donde decía:
Tarde o temprano va a suceder; la obtención de certificados SSL falsificados es demasiado fácil de esperar de lo contrario. ¿Qué podemos hacer al respecto? No cargue el javascript de Google Analytics cuando se accede a su sitio a través de HTTPS. Esto es fácil de hacer: Simplemente lance un if ("http:" == document.location.protocol) alrededor del documento document.write o s.parentNode.insertBefore el código que carga el javascript de Google Analytics. En el sitio web de mi servicio de copia de seguridad en línea Tarsnap, he estado haciendo esto durante años, no solo por la posibilidad de certificados SSL falsificados, sino también porque no quiero que Google pueda robar las contraseñas de mis usuarios. !
La cuestión es que una de las mejores cosas de Google Analytics es la capacidad de hacer un seguimiento de los objetivos: lograr que los usuarios interactúen con el sitio de maneras específicas.
Si desactivo esta funcionalidad para SSL, significa que muchos de los objetivos, lograr que se registren y que compren cosas, serán necesariamente bloqueados.
Por lo tanto, estoy desgarrado. ¿Hay alguna manera de continuar usando Google Analytics para este propósito mientras mantengo cierta apariencia de seguridad para mi sitio web? ¿Es simplemente una compensación imposible entre funcionalidad y seguridad?