Bir web sitesi için SSL sertifikası ne kadar önemlidir?


14

Kendi projemi bootstrapping ediyorum, bir kayıt / giriş alanı var (RoR ile tasarlandı, düzgün bir şekilde hashed ve tuzlu). Alt alan adlarını kullanıyorum ve iframe'lerle onlara erişmem gerektiğinden (gerçekten haklı!) Alt alan adlarını kapsayan pahalı sertifikalardan birine ihtiyacım var.

Bunu kendi zamanımdan ve paramdan çıkardığım için, birkaç yüzlerce sertifikanın yanı sıra daha önce denemediğim bir şeyi incelemekte tereddüt ediyorum. E-posta adresinin ve parolanın yanında hassas bilgiler saklamıyorum. Anladığım kadarıyla, tek güvenlik açığı, bir kullanıcı şifrelenmemiş bir ağda (kahve dükkanı gibi) oturum açtığında veya kaydolduğunda ve birisi ağı dinlediğinde ortaya çıkar.

Ucuz muyum? Bu, vahşi doğaya bırakmadan önce uğraşmam gereken bir şey mi? Muhtemelen başlattığımda haberdar olmak için kayıt yaptırdığım 25.000 kullanıcım olduğundan bahsetmeliyim, bu yüzden endişeliyim.


1
Çünkü alt alanlarını kapsayacak bir joker karakter sertifikasına ihtiyacı var.
pritaeas

1
Ancak alt alanlar gerçekten gerekli mi? Tek bir site gibi görünmesi için bir tür (güvenli) proxy koymak mümkün mü?
Donal Fellows

3
Lansmanınızı bekleyen 25.000 kullanıcınız varsa, yüzlerce dolar harcamak sorun olmamalı.
marco-fiset

2
Birçok yanıt ve yoruma rağmen, İmzalı SSL sertifikası web sitenizdeki verilerin güvenliğini sağlamanın önemli bir parçasıdır. Kullanıcının gördüğü veya gönderdiği her şey, nereden bağlandıklarına bakılmaksızın, yoksa, casusluk yapılabilir.
Chris

2
@RyanKinal Uhh ... bunlar gerçekten standart tarayıcılarda doğru şekilde çalışıyor ve doğrulanıyor mu? Ben ücretsiz certs teklif herhangi bir CA imza anahtarının kara listeye olacağını düşündüm
TheLQ

Yanıtlar:


5

Bu sorunun sorulmasından bu yana çok şey değişti. Sitenizin HTTPS'ye ihtiyacı var mı? EVET!

  1. Etki alanı doğrulama ile Sertifikalar olan serbest örn edelim Şifrele, birçok sağlayıcılarından. Bu sertifikalar, para ödediğiniz sertifikalar kadar iyidir. Sunucu adı tanımlaması sayesinde bir IP adresine sahip olmak gerekli değildir.

  2. Tarayıcılar HTTPS olmayan sayfaları nötr olmak yerine giderek daha güvenli değil olarak işaretliyor . Sitenizin güvenli olmayan olarak işaretlenmesi iyi görünmüyor.

  3. Modern web teknolojileri şifreleme gerektirir. Chrome'un yalnızca HTTPS siteleri için yeni özellikleri etkinleştirme politikası, Google'ın HTTPS siteleri için tercih ettiği sıralaması veya şifrelenmiş HTTP / 2, düz metin HTTP / 1.1'den daha hızlı olmasına rağmen , fırsatları masaya bırakıyorsunuz. Evet, şifreleme sunucularınıza yük ekler, ancak bu çoğu site için farkedilmez ve özellikle kullanıcılar tarafından farkedilmez.

  4. Gizlilik her zamankinden daha önemlidir. İster tıklama akışınızı ister gizli bağlantılarınızı tüm bağlantılarınız üzerinden elden geçiren ISP'ler olsun, herhangi bir iletişimi herkesin görebilmesi için iyi bir neden yoktur. Varsayılan olarak HTTPS kullanın ve yalnızca iletilen bilgilerin güvenli bir şekilde herkese açık olabileceğinden ve üzerinde oynanabileceğinden eminseniz HTTP kullanın.

    Parolaların düz metin bağlantıları üzerinden iletilmemesi gerektiğini unutmayın.

    EU-GDPR gibi bazı düzenlemeler uyarınca, genellikle web siteleri için HTTPS'yi içeren en son güvenlik önlemlerini uygulamanız gerekmektedir.

Birkaç çözüm olmayan var:

  • “Parola yerine OAuth kullan”, hâlâ parola benzeri belirteçlerin olduğu noktasını kaçırıyor. En azından, kullanıcılarınızın geçici bir parola görevi gördüğü için korunması gereken bir oturum çerezi olacaktır.

  • Kendinden imzalı sertifikalar tarayıcılar tarafından reddedilir. Bir istisna eklemek mümkündür, ancak çoğu kullanıcı bunu yapamaz. Kendinden imzalı bir sertifika sunmanın, geçersiz bir sertifika kullanan bir MITM saldırısından ayırt edilemeyeceğini unutmayın.

Yani: Sertifikalar ücretsizdir ve HTTPS sitenizi daha hızlı hale getirebilir. Artık geçerli bir mazeret yok. Sonraki adımlar: HTTPS'ye geçişle ilgili bu kılavuzu okuyun .


Söz konusu avantajlardan dolayı, kullanıcı kaydını ve benzeri işlemleri yapmasanız bile, günümüzde trendin sitenizi https yapmak olduğunu kabul ediyorum. Bunu doğru cevap olarak seçiyorum.
metodofaktif

1
Ek olarak: HTTPS sadece gizlilik değil, aynı zamanda bütünlük de getirir. Şifreleme nedeniyle, kullanıcının aldığı verilerin gerçekten gönderilen ve yolda birileri tarafından değiştirilmemiş olan veriler olduğundan emin olabilirsiniz
johannes

24

Bir tane alırım. Sertifikanın maliyeti, kullanıcılara sağladığı güven düzeyi göz önüne alındığında o kadar büyük değildir. Bir yatırım olarak düşünün. Uygulamalarınız güvenli görünmüyorsa (ve düzgün imzalanmış SSL sertifikaları bir web sitesinin güvenli olduğu varsayımını verirse), insanlar gelecekteki ürünlerinizi kullanma konusundaki ilgilerini kaybedebilir.


1
genel SSL, teknoloji sahibi olmayan kişiler için iyi hissettiriyor
Jakub

ve diğer taraftan: hiçbir SSL, tipik kullanıcı için 'çok kötü ve şüpheli' bir şey değildir
Andrzej Bobak

Yalnızca imzalı sertifikalar güven sağlayabilir. İmzalı bir sertifika olmadan verilerin çalınması hala mümkündür. Orta saldırılardaki adam hala istemciye sahte bir sertifika vererek çalışır.
Chris

İşaretçiler için teşekkürler, genel fikir birliği bir SSL'nin gözden geçirmem gereken bir şey olmadığını gösteriyor. Ben startssl ücretsiz sertifika yükledim ve aslında başlattığınızda joker bir satın alacak method.ac
methodofaction

5

"Yalnızca" e-posta ve şifre topluyorsanız, herhangi bir para ödemeden önce kendi OpenSSL sertifikanızı (http://www.openssl.org/) oluşturmayı deneyebilirsiniz.

Fakat...

Web sitesi kullanıcıları tanınan / kabul edilen bir sertifika olmayacağından, bu konuda "bir şeyler denemek" için yapabileceğiniz bir şey var.

Tavsiyem SSL'ye yatırım yapmak, çünkü e-posta ve şifreler diğer türden pozlamalara neden olabilecek çok hassas bir özel veri olduğu için (e-posta hesabım için aynı geçişi kullandığımı söylüyorum - bu bilgi sızdırıyorsa, tüm e-postalar CC verileri de dahil olmak üzere veriler, diğer çevrimiçi hizmetler için sahip olduğum tüm erişim bilgileri ve tanrı başka neler biliyor ...)

Güvenli ve güvenilir bir WEB'ye ihtiyacımız var ve birkaç düzine dolar kullanıcı güvenliği için ödemek için küçük bir fiyattır. (SSL kadar basit olsa bile)


5

Güvenlik endişeleri

Anladığım kadarıyla, tek güvenlik açığı, bir kullanıcı şifrelenmemiş bir ağda (kahve dükkanı gibi) oturum açtığında veya kaydolduğunda ve birisi ağı dinlediğinde ortaya çıkar.

Bu doğru değil, kullanıcı ve web siteniz arasında iletilen veriler asla güvenli değildir. Örneğin, http://www.pcmag.com/article2/0,2817,2406837,00.asp , insanların DNS ayarlarını değiştiren bir virüsün hikayesini detaylandırıyor. Mevcut ağınız ne kadar iyi korunursa korunsun, internetteki herhangi bir gönderim, sizinkine ulaşmadan önce birçok farklı sunucudan geçer. Bunlardan herhangi biri kötü amaçlı olabilir.

SSL sertifikaları, verilerinizi yalnızca sunucunuzda şifresi çözülebilecek tek yönlü bir şifrelemeyle şifrelemenize olanak tanır. Veriler sunucunuza nereden atlarsa takılsın, hiç kimse verileri okuyamaz.

Çoğu durumda ve bu hostinginize bağlıdır, bir sertifikanın yüklenmesi oldukça acısızdır. Çoğu sağlayıcı sizin için kuracaktır.

SSL Sertifika Türleri

Bazı yanıtlarda belirtildiği gibi, kendi SSL sertifikalarınızı oluşturabilirsiniz. SSL sertifikası yalnızca genel ve özel bir anahtar eşleştirmesidir. Sunucunuz genel anahtarı verir, istemci gönderdiği verileri şifrelemek için kullanır ve yalnızca sunucunuzdaki özel anahtar şifresini çözebilir. OpenSSL kendinizinkini oluşturmak için iyi bir araçtır.

İmzalı SSL Sertifikaları

Sertifika yetkilisinden sertifika satın almak, başka bir güvenlik ve güven düzeyi ekler. Yine, birisinin istemci tarayıcısı ile web sunucusu arasında oturabilmesi mümkündür. Müşteriye kendi genel anahtarlarını vermeleri, bilgilerin özel anahtarlarıyla şifresini çözmeleri, genel anahtarınızla yeniden şifrelemeleri ve size ve ne kullanıcıya ne de bilmenize gerek duymaları yeterlidir.

İmzalı bir Sertifika kullanıcı tarafından alındığında, tarayıcıları, aldıkları genel anahtarın aslında web siteniz için olduğunu ve herhangi bir kurcalama olmadığını doğrulamak için kimlik doğrulama sağlayıcısına (Verisign vb.) Bağlanır.

Bu nedenle, evet siteniz için İmzalı bir SSL sertifikanız olmalıdır. Daha profesyonel görünmenizi sağlar, kullanıcılarınıza sitenizi kullanma konusunda daha fazla fikir verir ve en önemlisi sizi veri hırsızlığına karşı korur.

Buradaki sorunun özü olan Ortadaki Adam saldırısı hakkında daha fazla bilgi. http://en.wikipedia.org/wiki/Man-in-the-middle_attack


2

Parolalar kişisel bilgi olarak ele alınmalıdır - açıkçası parola yeniden kullanımı verildiğinde, muhtemelen bir SSN'den daha hassastır.

Bu ve açıklamanız göz önüne alındığında, neden bir şifre sakladığınızı merak ediyorum ...

OpenID kullanırdım ve kendi giriş bilginizin olması gerektiğini düşünüyorsanız, bunun için tek bir alt alan adı oluşturun ve OpenID'yi başka bir yerde kullanın.

OpenID yapmazsanız, yine de aynı giriş bilgilerini kullanabilirsiniz. Alan adı deseniniz, joker karakter sertifikasına ihtiyaç duymamak için, ancak dediğim gibi, bugünün dünya şifreleri en az SSN / doğum günü kadar hassastır, toplamayın eğer zorunda değilsen.


1

Trustico üzerinden RapidSSL sadece 30 $ veya 160 $ ​​'dan daha az bir RapidSSL joker kartı alabilirsiniz - ayrıca bir fiyat garantisi var, bu yüzden daha ucuz bulursanız eşleşecekler.


1

Benzersiz bir IP'niz varsa, özellikle uzaktan bile hassas olan herhangi bir veriyle ilgileniyorsanız bir sertifika da alabilirsiniz. StartSSL'den ücretsiz güvenilir sertifikalar alabileceğiniz için , gerçekten bir sertifika almamanız için hiçbir neden yok.


1

Bir tane almak akıllıca olur. Belirtildiği gibi, ALL about end user trustweb sitenize.

so I'm hesitant to drop a couple of hundreds on a certificate - iyi pahalı değil ve 50 $ altında bir tane alabilirsiniz.

SSL - sitenizi güvence altına almak ve sitenizdeki ziyaretçilere bir güven düzeyi eklemek gerçekten önemlidir. Giriş işlemi ile ilgili olarak, neden OAuth kullanmıyorsunuz ? Bu özellik, web sitenize kayıt için zaman harcamak için kullanıcının uğraşını atlayacaktır . Web sitesi kullanıcı trafiği bundan gerçekten fayda sağlayacaktır. Cidden !, araştırmak için biraz zaman bul .

Sık sorulan SSL sorularına iyi bir referans - SSL Sertifikaları hakkında her şey


0

Ayrıca giriş için üçüncü taraf sağlayıcı (ör. Openid) kullanmayı düşünürüm. Çoğu CMS zaten bunu destekliyor.


-1

Bir SSL'nin dezavantajları vardır. Web sitenizi yavaşlatır. Gerçekten mi.

İnsanların SSL sertifikalarını kullanmasının tek nedeni, müşterilerin parasının bulunmasıdır.

Müşterilerinizin parasını dahil etmiyorsanız, SSL sertifikası alma kararı tamamen iş amaçlıdır.

Müşterileriniz için bir arka planınız varsa, web sitesinde para bulunmuyorsa, ancak güvenli olduklarından emin olmaları gerekiyorsa, bir sertifika alın. Müşterilerinizin güveni için bir yatırımdır.


3
-1: Kullanıcılarınız kayıt ve giriş için parola gibi hassas veriler gönderdiğinde DAİMA bir SSL sertifikası kullanmalısınız. Sadece para söz konusu olduğunda değil.
marco-fiset

2
Katılmıyorum. Bir iş açısından bakıldığında, açıkça gerekli değildir. SSL sertifikası yalnızca yanıtta belirtildiği gibi müşterilerin parasını dahil ediyorsanız satın alın.
Florian Margaine

3
@Florian: SE, sizden kişisel bilgi ister, ancak şifrelemezse, bozuk bir web sitesidir. Bu devasa bir site ağı, özellikle programcılara yönelik bir site ağı daha iyi bilmelidir. Benim için olsa da, onlar BTW benim OpenID sağlayıcısı yönlendirme yapar kullanımı SSL. Soru, bu kırılganlığın düzeltilmeye değer olup olmadığıdır. Ve SO gibi herhangi bir kişisel bilgiye sahip olmayan (şifre ve e-posta adresinin yanı sıra) bir site için, belki de olmadığına karar verdiler. Ancak bu, "CC numarası yok mu? SSL'yi mahvetmek" demek yerine, alınması ve yaşanması gereken bir karardır.
cHao

1
SSL eksikliğinden de kandırıldım, ancak kayıt formunun aslında bir https adresi çağıran bir iframe içine gömülü olduğu ortaya çıktı.
methodofaction

1
@FlorianMargaine - Google, SSL iddialarınızın web sitenizi hata olarak yavaşlattığını kanıtlamıştır.
Ramhound

-1

Bir joker karakter SSL sertifikasına biraz para yatırmak en iyi seçenek olabilir veya olmayabilir. Caddy web sunucusuna bir göz atın: https://caddyserver.com/ . Özellikle Let's Encrypt'in ücretsiz sertifikalarını almak için desteklenmiş birçok güzel özelliğe sahiptir. Tüm etki alanlarınızı yapılandırma dosyasında belirtebilirsiniz ve onlar için sertifika alır. Diğer gerçekten harika özellik On-Demand TLS. Bunu etkinleştirirseniz, sertifikası olmayan yeni bir alan için istek aldığında , ilk TLS anlaşması sırasında bir tane alır. Bu, kelimenin tam anlamıyla binlerce etki alanına sahip olabileceğiniz ve Caddy yapılandırmasında her birini yapılandırmanız gerekmeyeceği anlamına gelir.

Not: Coşkum gibi göründüğü kadarıyla, ürünlerinin hevesli bir kullanıcısı olmak dışında Caddy ile herhangi bir şekilde, şekilde veya biçimde bağlı değilim.


-4

Her şey kullanıcılar hakkında, herhangi bir güvenlik sağlamazlar, sertifikalar sadece satmak için ürünlerdir.

Buna bir göz atmak isteyebilirsiniz

http://en.wikipedia.org/wiki/Comparison_of_SSL_certificates_for_web_servers


Söylediklerinin doğru olduğunu düşünmüyorum. Sertifika güvenlik sağlamaz, ancak bir kimliktir ve nesneleri tanımlayabilmeniz ilk güvenlik düzeyidir?
Ozair Kafray

kimi tanımla? Nasıl? "Stuff" adında bir şirketiniz varsa, bir sertifika satın alırsınız ve dönem "Stuff" olarak tanınırsınız. "Rastgele" olduğunuzu söylerseniz, "Rastgele" olarak tanınırsınız; Sizce bu adamlar internette polis olmak için çok az ilgi duyuyorlar mı?
user827992

Hayır, ancak kısa bir süre önce vcred.com ürünümüz için bir sertifika aldık ve geotrust, riksof.com olan bir şirket olarak bizi doğrulamamız 3 ay sürdü. Bu Pakistan için, diğer ülkeler için daha az zaman alıyorlar ve bunun nedeni bizi doğrulamaları. Sanırım verisign da katı bir doğrulama sürecine sahip olacaktı. Yani, sadece benim görüşüme göre bir ürün olarak satmıyorlar. Kendisi de bir sertifika oluşturabilir ve daha sonra CA'nın yokluğu kolayca tanımlanabilir
Ozair Kafray

Bu şirket bir istisnadır, ayrıca ne tür bir sertifika satın aldığınıza bağlıdır, ancak sonunda başka bir kişi olabilirsiniz ve bunu başarmak o kadar da zor değildir.
user827992

2
-1 Sertifikalar güvenlik sağlar. Bu onların birincil işlevi.
Chris
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.