Bir web sitesi için SSL sertifikası ne kadar önemlidir?

Kendi projemi bootstrapping ediyorum, bir kayıt / giriş alanı var (RoR ile tasarlandı, düzgün bir şekilde hashed ve tuzlu). Alt alan adlarını kullanıyorum ve iframe'lerle onlara erişmem gerektiğinden (gerçekten haklı!) Alt alan adlarını kapsayan pahalı sertifikalardan birine ihtiyacım var.

Bunu kendi zamanımdan ve paramdan çıkardığım için, birkaç yüzlerce sertifikanın yanı sıra daha önce denemediğim bir şeyi incelemekte tereddüt ediyorum. E-posta adresinin ve parolanın yanında hassas bilgiler saklamıyorum. Anladığım kadarıyla, tek güvenlik açığı, bir kullanıcı şifrelenmemiş bir ağda (kahve dükkanı gibi) oturum açtığında veya kaydolduğunda ve birisi ağı dinlediğinde ortaya çıkar.

Ucuz muyum? Bu, vahşi doğaya bırakmadan önce uğraşmam gereken bir şey mi? Muhtemelen başlattığımda haberdar olmak için kayıt yaptırdığım 25.000 kullanıcım olduğundan bahsetmeliyim, bu yüzden endişeliyim.

Bu sorunun sorulmasından bu yana çok şey değişti. Sitenizin HTTPS'ye ihtiyacı var mı? EVET!

1. Etki alanı doğrulama ile Sertifikalar olan serbest örn edelim Şifrele, birçok sağlayıcılarından. Bu sertifikalar, para ödediğiniz sertifikalar kadar iyidir. Sunucu adı tanımlaması sayesinde bir IP adresine sahip olmak gerekli değildir.

2. Tarayıcılar HTTPS olmayan sayfaları nötr olmak yerine giderek daha güvenli değil olarak işaretliyor . Sitenizin güvenli olmayan olarak işaretlenmesi iyi görünmüyor.

3. Modern web teknolojileri şifreleme gerektirir. Chrome'un yalnızca HTTPS siteleri için yeni özellikleri etkinleştirme politikası, Google'ın HTTPS siteleri için tercih ettiği sıralaması veya şifrelenmiş HTTP / 2, düz metin HTTP / 1.1'den daha hızlı olmasına rağmen , fırsatları masaya bırakıyorsunuz. Evet, şifreleme sunucularınıza yük ekler, ancak bu çoğu site için farkedilmez ve özellikle kullanıcılar tarafından farkedilmez.

4. Gizlilik her zamankinden daha önemlidir. İster tıklama akışınızı ister gizli bağlantılarınızı tüm bağlantılarınız üzerinden elden geçiren ISP'ler olsun, herhangi bir iletişimi herkesin görebilmesi için iyi bir neden yoktur. Varsayılan olarak HTTPS kullanın ve yalnızca iletilen bilgilerin güvenli bir şekilde herkese açık olabileceğinden ve üzerinde oynanabileceğinden eminseniz HTTP kullanın.

   Parolaların düz metin bağlantıları üzerinden iletilmemesi gerektiğini unutmayın.

   EU-GDPR gibi bazı düzenlemeler uyarınca, genellikle web siteleri için HTTPS'yi içeren en son güvenlik önlemlerini uygulamanız gerekmektedir.

Birkaç çözüm olmayan var:

• “Parola yerine OAuth kullan”, hâlâ parola benzeri belirteçlerin olduğu noktasını kaçırıyor. En azından, kullanıcılarınızın geçici bir parola görevi gördüğü için korunması gereken bir oturum çerezi olacaktır.

• Kendinden imzalı sertifikalar tarayıcılar tarafından reddedilir. Bir istisna eklemek mümkündür, ancak çoğu kullanıcı bunu yapamaz. Kendinden imzalı bir sertifika sunmanın, geçersiz bir sertifika kullanan bir MITM saldırısından ayırt edilemeyeceğini unutmayın.

Yani: Sertifikalar ücretsizdir ve HTTPS sitenizi daha hızlı hale getirebilir. Artık geçerli bir mazeret yok. Sonraki adımlar: HTTPS'ye geçişle ilgili bu kılavuzu okuyun .

Bir tane alırım. Sertifikanın maliyeti, kullanıcılara sağladığı güven düzeyi göz önüne alındığında o kadar büyük değildir. Bir yatırım olarak düşünün. Uygulamalarınız güvenli görünmüyorsa (ve düzgün imzalanmış SSL sertifikaları bir web sitesinin güvenli olduğu varsayımını verirse), insanlar gelecekteki ürünlerinizi kullanma konusundaki ilgilerini kaybedebilir.

"Yalnızca" e-posta ve şifre topluyorsanız, herhangi bir para ödemeden önce kendi OpenSSL sertifikanızı (http://www.openssl.org/) oluşturmayı deneyebilirsiniz.

Fakat...

Web sitesi kullanıcıları tanınan / kabul edilen bir sertifika olmayacağından, bu konuda "bir şeyler denemek" için yapabileceğiniz bir şey var.

Tavsiyem SSL'ye yatırım yapmak, çünkü e-posta ve şifreler diğer türden pozlamalara neden olabilecek çok hassas bir özel veri olduğu için (e-posta hesabım için aynı geçişi kullandığımı söylüyorum - bu bilgi sızdırıyorsa, tüm e-postalar CC verileri de dahil olmak üzere veriler, diğer çevrimiçi hizmetler için sahip olduğum tüm erişim bilgileri ve tanrı başka neler biliyor ...)

Güvenli ve güvenilir bir WEB'ye ihtiyacımız var ve birkaç düzine dolar kullanıcı güvenliği için ödemek için küçük bir fiyattır. (SSL kadar basit olsa bile)

Güvenlik endişeleri

Anladığım kadarıyla, tek güvenlik açığı, bir kullanıcı şifrelenmemiş bir ağda (kahve dükkanı gibi) oturum açtığında veya kaydolduğunda ve birisi ağı dinlediğinde ortaya çıkar.

Bu doğru değil, kullanıcı ve web siteniz arasında iletilen veriler asla güvenli değildir. Örneğin, http://www.pcmag.com/article2/0,2817,2406837,00.asp , insanların DNS ayarlarını değiştiren bir virüsün hikayesini detaylandırıyor. Mevcut ağınız ne kadar iyi korunursa korunsun, internetteki herhangi bir gönderim, sizinkine ulaşmadan önce birçok farklı sunucudan geçer. Bunlardan herhangi biri kötü amaçlı olabilir.

SSL sertifikaları, verilerinizi yalnızca sunucunuzda şifresi çözülebilecek tek yönlü bir şifrelemeyle şifrelemenize olanak tanır. Veriler sunucunuza nereden atlarsa takılsın, hiç kimse verileri okuyamaz.

Çoğu durumda ve bu hostinginize bağlıdır, bir sertifikanın yüklenmesi oldukça acısızdır. Çoğu sağlayıcı sizin için kuracaktır.

SSL Sertifika Türleri

Bazı yanıtlarda belirtildiği gibi, kendi SSL sertifikalarınızı oluşturabilirsiniz. SSL sertifikası yalnızca genel ve özel bir anahtar eşleştirmesidir. Sunucunuz genel anahtarı verir, istemci gönderdiği verileri şifrelemek için kullanır ve yalnızca sunucunuzdaki özel anahtar şifresini çözebilir. OpenSSL kendinizinkini oluşturmak için iyi bir araçtır.

İmzalı SSL Sertifikaları

Sertifika yetkilisinden sertifika satın almak, başka bir güvenlik ve güven düzeyi ekler. Yine, birisinin istemci tarayıcısı ile web sunucusu arasında oturabilmesi mümkündür. Müşteriye kendi genel anahtarlarını vermeleri, bilgilerin özel anahtarlarıyla şifresini çözmeleri, genel anahtarınızla yeniden şifrelemeleri ve size ve ne kullanıcıya ne de bilmenize gerek duymaları yeterlidir.

İmzalı bir Sertifika kullanıcı tarafından alındığında, tarayıcıları, aldıkları genel anahtarın aslında web siteniz için olduğunu ve herhangi bir kurcalama olmadığını doğrulamak için kimlik doğrulama sağlayıcısına (Verisign vb.) Bağlanır.

Bu nedenle, evet siteniz için İmzalı bir SSL sertifikanız olmalıdır. Daha profesyonel görünmenizi sağlar, kullanıcılarınıza sitenizi kullanma konusunda daha fazla fikir verir ve en önemlisi sizi veri hırsızlığına karşı korur.

Buradaki sorunun özü olan Ortadaki Adam saldırısı hakkında daha fazla bilgi. http://en.wikipedia.org/wiki/Man-in-the-middle_attack

Parolalar kişisel bilgi olarak ele alınmalıdır - açıkçası parola yeniden kullanımı verildiğinde, muhtemelen bir SSN'den daha hassastır.

Bu ve açıklamanız göz önüne alındığında, neden bir şifre sakladığınızı merak ediyorum ...

OpenID kullanırdım ve kendi giriş bilginizin olması gerektiğini düşünüyorsanız, bunun için tek bir alt alan adı oluşturun ve OpenID'yi başka bir yerde kullanın.

OpenID yapmazsanız, yine de aynı giriş bilgilerini kullanabilirsiniz. Alan adı deseniniz, joker karakter sertifikasına ihtiyaç duymamak için, ancak dediğim gibi, bugünün dünya şifreleri en az SSN / doğum günü kadar hassastır, toplamayın eğer zorunda değilsen.

Trustico üzerinden RapidSSL sadece 30 $ veya 160 $ ​​'dan daha az bir RapidSSL joker kartı alabilirsiniz - ayrıca bir fiyat garantisi var, bu yüzden daha ucuz bulursanız eşleşecekler.

Benzersiz bir IP'niz varsa, özellikle uzaktan bile hassas olan herhangi bir veriyle ilgileniyorsanız bir sertifika da alabilirsiniz. StartSSL'den ücretsiz güvenilir sertifikalar alabileceğiniz için , gerçekten bir sertifika almamanız için hiçbir neden yok.

Bir tane almak akıllıca olur. Belirtildiği gibi, ALL about end user trustweb sitenize.

so I'm hesitant to drop a couple of hundreds on a certificate - iyi pahalı değil ve 50 $ altında bir tane alabilirsiniz.

SSL - sitenizi güvence altına almak ve sitenizdeki ziyaretçilere bir güven düzeyi eklemek gerçekten önemlidir. Giriş işlemi ile ilgili olarak, neden OAuth kullanmıyorsunuz ? Bu özellik, web sitenize kayıt için zaman harcamak için kullanıcının uğraşını atlayacaktır . Web sitesi kullanıcı trafiği bundan gerçekten fayda sağlayacaktır. Cidden !, araştırmak için biraz zaman bul .

Sık sorulan SSL sorularına iyi bir referans - SSL Sertifikaları hakkında her şey

Ayrıca giriş için üçüncü taraf sağlayıcı (ör. Openid) kullanmayı düşünürüm. Çoğu CMS zaten bunu destekliyor.

Bir SSL'nin dezavantajları vardır. Web sitenizi yavaşlatır. Gerçekten mi.

İnsanların SSL sertifikalarını kullanmasının tek nedeni, müşterilerin parasının bulunmasıdır.

Müşterilerinizin parasını dahil etmiyorsanız, SSL sertifikası alma kararı tamamen iş amaçlıdır.

Müşterileriniz için bir arka planınız varsa, web sitesinde para bulunmuyorsa, ancak güvenli olduklarından emin olmaları gerekiyorsa, bir sertifika alın. Müşterilerinizin güveni için bir yatırımdır.

Bir joker karakter SSL sertifikasına biraz para yatırmak en iyi seçenek olabilir veya olmayabilir. Caddy web sunucusuna bir göz atın: https://caddyserver.com/ . Özellikle Let's Encrypt'in ücretsiz sertifikalarını almak için desteklenmiş birçok güzel özelliğe sahiptir. Tüm etki alanlarınızı yapılandırma dosyasında belirtebilirsiniz ve onlar için sertifika alır. Diğer gerçekten harika özellik On-Demand TLS. Bunu etkinleştirirseniz, sertifikası olmayan yeni bir alan için istek aldığında , ilk TLS anlaşması sırasında bir tane alır. Bu, kelimenin tam anlamıyla binlerce etki alanına sahip olabileceğiniz ve Caddy yapılandırmasında her birini yapılandırmanız gerekmeyeceği anlamına gelir.

Not: Coşkum gibi göründüğü kadarıyla, ürünlerinin hevesli bir kullanıcısı olmak dışında Caddy ile herhangi bir şekilde, şekilde veya biçimde bağlı değilim.

Her şey kullanıcılar hakkında, herhangi bir güvenlik sağlamazlar, sertifikalar sadece satmak için ürünlerdir.

Buna bir göz atmak isteyebilirsiniz

http://en.wikipedia.org/wiki/Comparison_of_SSL_certificates_for_web_servers