Quan ngại về an ninh
Theo tôi hiểu, lỗ hổng duy nhất xảy ra khi người dùng đăng nhập hoặc đăng ký từ một mạng không được mã hóa (chẳng hạn như quán cà phê) và ai đó đang lắng nghe mạng.
Điều này không đúng, dữ liệu được truyền giữa người dùng và trang web của bạn không bao giờ an toàn. Chỉ là một ví dụ, http://www.pcmag.com/article2/0,2817,2406837,00.asp nêu chi tiết câu chuyện về một loại virus đã thay đổi cài đặt DNS của mọi người. Cho dù mạng hiện tại của bạn được bảo vệ tốt đến mức nào, bất kỳ nội dung gửi nào trên internet đều đi qua nhiều máy chủ khác nhau trước khi nó đến mạng của bạn. Bất kỳ một trong số họ có thể là độc hại.
Chứng chỉ SSL cho phép bạn mã hóa dữ liệu của mình theo cách mã hóa một chiều chỉ có thể được giải mã tại máy chủ của bạn. Vì vậy, bất kể nơi nào dữ liệu nhảy trên máy chủ của bạn, không ai khác có thể đọc dữ liệu.
Trong hầu hết các trường hợp, và điều này phụ thuộc vào lưu trữ của bạn, việc cài đặt chứng chỉ khá khó khăn. Hầu hết các nhà cung cấp sẽ cài đặt nó cho bạn.
Các loại chứng chỉ SSL
Như đã lưu ý trong một số câu trả lời, bạn có thể tạo chứng chỉ SSL của riêng mình. Chứng chỉ SSL chỉ là một cặp khóa công khai và riêng tư. Máy chủ của bạn cung cấp khóa chung, khách hàng sử dụng nó để mã hóa dữ liệu mà nó đang gửi và chỉ có khóa riêng trên máy chủ của bạn mới có thể giải mã được. OpenSSL là một công cụ tốt để tạo riêng của bạn.
Chứng chỉ SSL đã ký
Mua chứng chỉ từ cơ quan cấp chứng chỉ sẽ thêm một mức độ bảo mật và tin cậy. Một lần nữa, có thể ai đó có thể ngồi giữa trình duyệt máy khách và máy chủ web của bạn. Họ chỉ cần cung cấp cho khách hàng khóa công khai của riêng họ, giải mã thông tin bằng khóa riêng của họ, mã hóa lại bằng khóa chung của bạn và chuyển nó cho bạn và cả người dùng và bạn đều không biết.
Khi người dùng nhận được Chứng chỉ đã ký, trình duyệt của họ sẽ kết nối với nhà cung cấp xác thực (Verisign, v.v.) để xác thực rằng khóa công khai họ nhận được thực tế là khóa cho trang web của bạn và không có sự giả mạo nào.
Vì vậy, có, bạn nên có chứng chỉ SSL đã ký cho trang web của mình. Nó làm cho bạn trông chuyên nghiệp hơn, giúp người dùng có tâm hơn trong việc sử dụng trang web của bạn và quan trọng nhất là bảo vệ bạn khỏi bị đánh cắp dữ liệu.
Thông tin thêm về cuộc tấn công Man In The Middle là cốt lõi của vấn đề ở đây.
http://en.wikipedia.org/wiki/Man-in-the-middle_attack