Наскільки важливий сертифікат SSL для веб-сайту?

Я завантажую свій власний проект, він має область реєстрації / входу (через розробку з RoR, звичайно хешировану і засолену, звичайно). Оскільки я використовую субдомени, і мені потрібно звертатися до них за допомогою iframes (це справді виправдано!), Мені знадобиться один із тих дорогих сертифікатів, які охоплюють субдомени.

Оскільки я роблю це з власного часу та грошей, то я вагаюся віддати пару сотень на сертифікат, а також пару годин, заглиблюючись у щось, чого раніше не пробував. Я не зберігаю конфіденційну інформацію, окрім адреси електронної пошти та пароля. Наскільки я розумію, єдина вразливість трапляється, коли користувач входить у систему або підписується з незашифрованої мережі (наприклад, у кав’ярні) і хтось слухає мережу.

Я дешевий? Це щось, з чим я повинен братися, перш ніж виходити в дику природу. Напевно, слід згадати, що у мене 25 000 користувачів, які підписалися, щоб отримувати сповіщення при запуску, тому я нервую це.

За час, коли було задано це питання, багато що змінилося. Чи потрібен ваш сайт HTTPS? ТАК!

1. Сертифікати з валідацією домену є безкоштовними у багатьох постачальників, наприклад, давайте шифрувати. Ці сертифікати такі ж хороші, як і ті, за які ви платите гроші. Завдяки ідентифікації імені сервера не потрібно володіти IP-адресою.

2. Браузери все частіше маркують сторінки, які не є HTTPS, як небезпечні , а не нейтральні. Якщо ваш сайт позначений як небезпечний, це не виглядає добре.

3. Сучасні веб-технології вимагають шифрування. Незалежно від того, що це політика Chrome щодо ввімкнення нових функцій для HTTPS-сайтів, переважний рейтинг Google для сайтів HTTPS або зашифрований HTTP / 2 швидше, ніж звичайний HTTP / 1.1 , ви залишаєте можливості на столі. Так, шифрування навантажує ваші сервери, але це не помітно для більшості сайтів - і особливо непомітно для користувачів.

4. Конфіденційність важливіша, ніж будь-коли. Незалежно від того, чи є провайдерами, що продають ваш потік кліків, або секретними службами, просіюючи всі ваші з'єднання, немає жодної вагомої причини залишати будь-яке спілкування загальнодоступним. Використовуйте HTTPS за замовчуванням, а HTTP використовуйте лише в тому випадку, якщо ви впевнені, що будь-яка передана інформація може безпечно бути загальнодоступною та може бути підроблена.

   Зауважте, що паролі не повинні передаватися через з'єднання в прямому тексті.

   Відповідно до деяких регламентів, таких як EU-GDPR, ви зобов'язані застосовувати сучасні заходи безпеки, які, як правило, включають HTTPS для веб-сайтів.

Є кілька нерозв'язків:

• "Використовувати OAuth замість паролів" не вказує на те, що все ще є лексеми, схожі на пароль. Принаймні, ваші користувачі матимуть сесійне cookie, яке повинно бути захищено, оскільки воно служить тимчасовим паролем.

• Веб-підписи сертифікатів відхиляються браузерами. Можна додати виняток, але більшість користувачів цього не зможуть зробити. Зауважте, що представлення самопідписаного сертифіката не відрізняється для користувача від MITM-атаки за допомогою недійсного cert.

Отже: Сертифікати безкоштовні, а HTTPS може зробити ваш сайт швидшим. Більше немає жодної вагомої виправдання. Наступні кроки: прочитайте цей посібник з переходу на HTTPS .

Я купив би один. Вартість сертифіката не така вже й велика, враховуючи рівень довіри, який він надає користувачам. Подумайте про це як про інвестицію. Якщо ваші програми не здаються захищеними (а належним чином підписані сертифікати SSL дозволяють припустити, що веб-сайт захищений), люди можуть втратити інтерес до використання ваших майбутніх продуктів.

Якщо ви "лише" збираєте електронні листи та паролі, можливо, ви захочете спробувати створити власний сертифікат OpenSSL (http://www.openssl.org/), перш ніж взяти будь-які кошти.

Але ...

Це лише те, що ви можете зробити, щоб "випробувати речі", оскільки користувачі веб-сайтів отримають ворогуючі дії, оскільки це не буде визнаним / прийнятим сертифікатом.

Моя порада - інвестувати в SSL, просто тому, що електронна пошта та паролі - це дуже чутливі приватні дані, які можуть призвести до інших видів експозиції (скажімо, я використовую той самий пропуск для мого облікового запису електронної пошти - якщо ця інформація просочується, то вся електронна пошта дані піддаються, включаючи дані CC, будь-яку інформацію про доступ, яку я маю для інших онлайн-сервісів, і Бог знає, що ще ...)

Нам потрібен безпечний і надійний веб-сайт, а кілька десятків доларів - це невелика ціна, щоб заплатити за безпеку користувачів. (навіть такий базовий, як SSL)

Проблеми безпеки

Наскільки я розумію, єдина вразливість трапляється, коли користувач входить у систему або підписується з незашифрованої мережі (наприклад, у кав’ярні) і хтось слухає мережу.

Це неправда, дані, що передаються між користувачем та вашим веб-сайтом, ніколи не є безпечними. Як приклад, http://www.pcmag.com/article2/0,2817,2406837,00.asp детально розповідає історію вірусу, який змінив налаштування DNS людей. Незалежно від того, наскільки хороша ваша поточна мережа захищена, будь-яке подання в Інтернеті проходить через безліч різних серверів, перш ніж потрапити на ваш. Будь-яка з них може бути шкідливою.

Сертифікати SSL дозволяють вам шифрувати свої дані в один спосіб шифрування, яке можна розшифрувати лише на вашому сервері. Тому незалежно від того, куди дані переходять на ваш сервер, ніхто більше не може їх читати.

У більшості випадків, і це залежить від вашого хостингу, установка сертифіката досить безболісна. Більшість постачальників встановить його за вас.

Типи сертифікатів SSL

Як зазначено в деяких відповідях, ви можете створювати власні сертифікати SSL. Сертифікат SSL - це лише пару відкритого та приватного ключа. Ваш сервер видає відкритий ключ, клієнт використовує його для шифрування даних, які він надсилає, і лише приватний ключ на вашому сервері може розшифрувати його. OpenSSL - хороший інструмент для створення власного.

Підписані SSL сертифікати

Придбання сертифіката від сертифікаційного органу додає ще один рівень безпеки та довіри. Знову ж таки, можливо, що хтось може сидіти між браузером клієнта та вашим веб-сервером. Їм потрібно просто надати клієнту свій відкритий ключ, розшифрувати інформацію за допомогою приватного ключа, заново зашифрувати його своїм відкритим ключем і передати його вам, і ні користувачеві, ні ви не знаєте.

Коли користувач отримає підписаний сертифікат, його веб-переглядач підключиться до постачальника аутентифікації (Verisign тощо), щоб перевірити, що отриманий ним відкритий ключ насправді є вашим для веб-сайту та що там не було підробок.

Отже, так, ви повинні мати підписаний SSL сертифікат для свого сайту. Це дозволяє вам виглядати більш професійно, надає користувачам більше уваги у використанні вашого веб-сайту, а головне захищає вас від крадіжок даних.

Більше інформації про атаку "Чоловік у середині" - це суть проблеми. http://en.wikipedia.org/wiki/Man-in-the-middle_attack

Passworrds слід розглядати як особисту інформацію - відверто кажучи, повторне використання пароля, ймовірно, більш чутливе, ніж SSN.

Враховуючи це та ваш опис, мені цікаво, чому ви взагалі зберігаєте пароль ...

Я б використовував OpenID, і якщо ви відчуваєте необхідність мати власний логін, створіть для цього єдиний піддомен та використовуйте OpenID у будь-якому іншому місці.

Якщо ви не зробите OpenID, ви все одно можете використовувати ту саму схему login.yourdomain, щоб не потребувати сертифікату wildcard, але, як я вже сказав, паролі в сьогоднішньому світі принаймні такі чутливі, як SSN / день народження, не збирайте їх якщо не потрібно.

RapidSSL через Trustico коштує лише 30 доларів, або ви можете отримати шаблону RapidSSL менше ніж за 160 доларів - вони також мають гарантію ціни, тому якщо вам здасться дешевшою, вони відповідатимуть їй.

Якщо у вас є унікальний IP-адрес, ви також можете отримати сертифікат, особливо якщо ви маєте справу з будь-якими даними, які чутливі навіть віддалено. Оскільки ви можете отримати безкоштовні довірені сертифікати від StartSSL , насправді немає причин, щоб його не було.

Було б розумно придбати один. Як уже згадувалося, саме ALL about end user trustдо вашого веб-сайту.

so I'm hesitant to drop a couple of hundreds on a certificate - ну це недешево, і ви можете отримати його до 50 доларів.

SSL - це дійсно важливо, щоб захистити свій сайт і додати рівень впевненості відвідувачам вашого сайту. Що стосується процесу входу, чому НЕ використовувати OAuth ? Ця функція дозволить пропустити клопоту користувачів, щоб витратити час на реєстрацію для вашого веб-сайту. Трафік користувачів веб-сайту від цього дійсно виграє. Серйозно !, знайдіть час, щоб дослідити це .

Хороша довідка щодо поширених питань SSL - Все про SSL сертифікати

Я б також подумав про використання стороннього постачальника для входу (наприклад, openid). Більшість CMS вже підтримують його.

У SSL є недоліки. Це уповільнює ваш веб-сайт. Дійсно.

Єдина причина, чому люди користуються сертифікатами SSL, це коли в них залучаються гроші клієнтів.

Якщо ви не залучаєте гроші своїх клієнтів, рішення взяти сертифікат SSL суто орієнтоване на бізнес.

Якщо у вас є бекенд для своїх клієнтів, без грошей на веб-сайті, але вони повинні бути впевнені, що вони безпечні, тоді обов'язково візьміть сертифікат. Це інвестиція для довіри ваших клієнтів.

Передача трохи грошей на сертифікат SSL для макіяжу може бути найкращим варіантом, а може і не. Погляньте на веб-сервер Caddy: https://caddyserver.com/ . Він має багато приємних функцій, зокрема вбудований в підтримку захоплення безкоштовних сертифікатів від Let’s Encrypt. Ви можете просто вказати всі свої домени у його конфігураційному файлі, і він захопить certs для них. Інша справді цікава функція - TLS On-Demand. Якщо ви ввімкнете його, кожного разу, коли він отримує запит на новий домен, він не має сертифікат, він захоплює його під час початкового рукостискання TLS. Це означає, що ви можете мати буквально тисячі доменів і не потрібно налаштовувати кожен окремий в конфігурації Caddy.

Зауважте: наскільки мій ентузіазм може здатися таким, я жодним чином, формою чи формою не захоплююсь Кейді, окрім того, що не є завзятим користувачем їхнього продукту.

Це все про користувачів, вони не забезпечують ніякого захисту, сертифікати - це лише продукція для продажу.

Ви можете поглянути на це

http://en.wikipedia.org/wiki/Comppare_of_SSL_certificate_for_web_servers