Chứng chỉ SSL quan trọng như thế nào đối với một trang web?

Tôi đang bootstrapping dự án của riêng mình, nó có một khu vực đăng ký / đăng nhập (thông qua phát minh với RoR, tất nhiên được băm và muối). Vì tôi đang sử dụng tên miền phụ và tôi cần truy cập chúng bằng iframe (thực sự hợp lý!) Tôi cần một trong những chứng chỉ đắt tiền bao gồm tên miền phụ.

Vì tôi đang làm việc này vì thời gian và tiền bạc của chính mình, nên tôi ngần ngại bỏ một vài trăm vào một chứng chỉ, cộng với một vài giờ đào sâu vào thứ gì đó mà tôi chưa từng thử trước đây. Tôi không lưu trữ bất kỳ thông tin nhạy cảm nào ngoài địa chỉ email và mật khẩu. Theo tôi hiểu, lỗ hổng duy nhất xảy ra khi người dùng đăng nhập hoặc đăng ký từ một mạng không được mã hóa (chẳng hạn như quán cà phê) và ai đó đang lắng nghe mạng.

Tôi có bị rẻ không? Đây có phải là một cái gì đó tôi nên giải quyết trước khi phát hành vào tự nhiên. Tôi có lẽ nên đề cập đến việc tôi có 25.000 người dùng đã đăng ký để được thông báo khi tôi khởi chạy, vì vậy tôi rất lo lắng về điều đó.

Trong thời gian kể từ khi câu hỏi này được hỏi, rất nhiều thứ đã thay đổi. Trang web của bạn có cần HTTPS không? ĐÚNG!

1. Chứng chỉ có xác thực tên miền là miễn phí từ nhiều nhà cung cấp, ví dụ: Let Encrypt. Những chứng chỉ này tốt như những chứng chỉ mà bạn trả tiền. Nhờ nhận dạng tên máy chủ, không cần thiết phải sở hữu địa chỉ IP.

2. Các trình duyệt đang ngày càng đánh dấu các trang không phải HTTPS là không an toàn , thay vì trung tính. Có trang web của bạn được đánh dấu là không an toàn không nhìn tốt.

3. Các công nghệ web hiện đại yêu cầu mã hóa. Cho dù chính sách của Chrome chỉ kích hoạt các tính năng mới cho các trang web HTTPS, xếp hạng ưa thích của Google cho các trang web HTTPS hay HTTP / 2 được mã hóa nhanh hơn HTTP / 1.1 , bạn sẽ bỏ qua các cơ hội trên bàn. Có, mã hóa sẽ thêm tải cho máy chủ của bạn, nhưng điều này không được chú ý đối với hầu hết các trang web - và đặc biệt không được người dùng chú ý.

4. Quyền riêng tư là quan trọng hơn bao giờ hết. Cho dù các ISP bán dòng nhấp hoặc dịch vụ bí mật của bạn thông qua tất cả các kết nối của bạn, không có lý do chính đáng nào để mọi thông tin liên lạc được hiển thị công khai. Sử dụng HTTPS theo mặc định và chỉ sử dụng HTTP nếu bạn chắc chắn rằng bất kỳ thông tin được truyền nào có thể được công khai một cách an toàn và có thể bị giả mạo.

   Lưu ý rằng mật khẩu không được truyền qua các kết nối văn bản gốc.

   Theo một số quy định như EU-GDPR, bạn được yêu cầu thực hiện các biện pháp bảo mật hiện đại, thường bao gồm HTTPS cho các trang web.

Có một vài giải pháp không:

• Sử dụng OAuth thay vì mật khẩu. Lỗi bỏ lỡ điểm vẫn còn các mã thông báo giống như mật khẩu. Ít nhất, người dùng của bạn sẽ có một cookie phiên phải được bảo vệ, vì nó phục vụ như một mật khẩu tạm thời.

• Chứng chỉ tự ký bị từ chối bởi trình duyệt. Có thể thêm một ngoại lệ, nhưng hầu hết người dùng sẽ không thể làm điều đó. Lưu ý rằng việc xuất trình chứng chỉ tự ký không thể phân biệt với người dùng khỏi cuộc tấn công MITM bằng chứng chỉ không hợp lệ.

Vì vậy: Chứng chỉ là miễn phí và HTTPS có thể làm cho trang web của bạn nhanh hơn. Không còn bất kỳ lý do hợp lệ. Các bước tiếp theo: đọc hướng dẫn này về việc di chuyển sang HTTPS .

Tôi sẽ mua một cái. Chi phí của chứng chỉ không lớn đến mức được coi là mức độ tin cậy mà nó cung cấp cho người dùng. Hãy nghĩ về nó như một khoản đầu tư. Nếu các ứng dụng của bạn dường như không an toàn (và chứng chỉ SSL được ký hợp lệ sẽ cho rằng trang web đó an toàn) mọi người có thể mất hứng thú sử dụng các sản phẩm trong tương lai của bạn.

Nếu bạn "chỉ" thu thập e-mail và mật khẩu, bạn có thể muốn thử tạo chứng chỉ OpenSSL của riêng mình (http://www.openssl.org/) trước khi nhận bất kỳ khoản tiền nào.

Nhưng...

Đây chỉ là điều bạn có thể làm để "thử mọi thứ" vì người dùng trang web sẽ nhận được cảnh báo vì đây sẽ không phải là chứng chỉ được công nhận / chấp nhận.

Lời khuyên của tôi là đầu tư vào SSL, đơn giản vì email và mật khẩu là dữ liệu riêng tư rất nhạy cảm có thể dẫn đến các loại phơi nhiễm khác (giả sử tôi sử dụng cùng một mật khẩu cho tài khoản email của mình - nếu thông tin này bị rò rỉ, thì tất cả email dữ liệu được phơi bày, bao gồm dữ liệu CC, bất kỳ và tất cả thông tin truy cập tôi có cho các dịch vụ trực tuyến khác và chúa biết còn gì nữa ...)

Chúng tôi cần một WEB an toàn và đáng tin cậy và vài chục đô la là một cái giá nhỏ để trả cho bảo mật người dùng. (thậm chí cơ bản như SSL)

Quan ngại về an ninh

Theo tôi hiểu, lỗ hổng duy nhất xảy ra khi người dùng đăng nhập hoặc đăng ký từ một mạng không được mã hóa (chẳng hạn như quán cà phê) và ai đó đang lắng nghe mạng.

Điều này không đúng, dữ liệu được truyền giữa người dùng và trang web của bạn không bao giờ an toàn. Chỉ là một ví dụ, http://www.pcmag.com/article2/0,2817,2406837,00.asp nêu chi tiết câu chuyện về một loại virus đã thay đổi cài đặt DNS của mọi người. Cho dù mạng hiện tại của bạn được bảo vệ tốt đến mức nào, bất kỳ nội dung gửi nào trên internet đều đi qua nhiều máy chủ khác nhau trước khi nó đến mạng của bạn. Bất kỳ một trong số họ có thể là độc hại.

Chứng chỉ SSL cho phép bạn mã hóa dữ liệu của mình theo cách mã hóa một chiều chỉ có thể được giải mã tại máy chủ của bạn. Vì vậy, bất kể nơi nào dữ liệu nhảy trên máy chủ của bạn, không ai khác có thể đọc dữ liệu.

Trong hầu hết các trường hợp, và điều này phụ thuộc vào lưu trữ của bạn, việc cài đặt chứng chỉ khá khó khăn. Hầu hết các nhà cung cấp sẽ cài đặt nó cho bạn.

Các loại chứng chỉ SSL

Như đã lưu ý trong một số câu trả lời, bạn có thể tạo chứng chỉ SSL của riêng mình. Chứng chỉ SSL chỉ là một cặp khóa công khai và riêng tư. Máy chủ của bạn cung cấp khóa chung, khách hàng sử dụng nó để mã hóa dữ liệu mà nó đang gửi và chỉ có khóa riêng trên máy chủ của bạn mới có thể giải mã được. OpenSSL là một công cụ tốt để tạo riêng của bạn.

Chứng chỉ SSL đã ký

Mua chứng chỉ từ cơ quan cấp chứng chỉ sẽ thêm một mức độ bảo mật và tin cậy. Một lần nữa, có thể ai đó có thể ngồi giữa trình duyệt máy khách và máy chủ web của bạn. Họ chỉ cần cung cấp cho khách hàng khóa công khai của riêng họ, giải mã thông tin bằng khóa riêng của họ, mã hóa lại bằng khóa chung của bạn và chuyển nó cho bạn và cả người dùng và bạn đều không biết.

Khi người dùng nhận được Chứng chỉ đã ký, trình duyệt của họ sẽ kết nối với nhà cung cấp xác thực (Verisign, v.v.) để xác thực rằng khóa công khai họ nhận được thực tế là khóa cho trang web của bạn và không có sự giả mạo nào.

Vì vậy, có, bạn nên có chứng chỉ SSL đã ký cho trang web của mình. Nó làm cho bạn trông chuyên nghiệp hơn, giúp người dùng có tâm hơn trong việc sử dụng trang web của bạn và quan trọng nhất là bảo vệ bạn khỏi bị đánh cắp dữ liệu.

Thông tin thêm về cuộc tấn công Man In The Middle là cốt lõi của vấn đề ở đây. http://en.wikipedia.org/wiki/Man-in-the-middle_attack

Passworrds nên được coi là thông tin cá nhân - sử dụng lại mật khẩu một cách thẳng thắn, nó có lẽ nhạy cảm hơn SSN.

Cho rằng và mô tả của bạn, tôi tự hỏi tại sao bạn đang lưu trữ một mật khẩu ...

Tôi sẽ sử dụng OpenID và nếu bạn cảm thấy cần phải có thông tin đăng nhập của riêng mình, hãy tạo một tên miền phụ duy nhất cho điều đó và sử dụng OpenID ở mọi nơi khác.

Nếu bạn sẽ không làm OpenID, bạn vẫn có thể sử dụng cùng một mẫu login.yourdomain để không cần chứng chỉ ký tự đại diện, nhưng như tôi đã nói, trong các mật khẩu thế giới ngày nay ít nhất là nhạy cảm như SSN / birthday, đừng thu thập nó nếu bạn không phải

RapidSSL thông qua Trustico chỉ có 30 đô la hoặc bạn có thể nhận được thẻ đại diện RapidSSL với giá dưới 160 đô la - họ cũng có một đảm bảo về giá, vì vậy nếu bạn thấy nó rẻ hơn thì họ sẽ khớp với nó.

Nếu bạn có một IP duy nhất, bạn cũng có thể nhận được chứng chỉ, đặc biệt nếu bạn xử lý bất kỳ dữ liệu nào thậm chí còn nhạy cảm từ xa. Vì bạn có thể nhận được chứng chỉ tin cậy miễn phí từ StartSSL , nên thực sự không có lý do gì để không có chứng chỉ.

Sẽ là khôn ngoan khi mua một cái. Như đã đề cập, nó là ALL about end user trusttrang web của bạn.

so I'm hesitant to drop a couple of hundreds on a certificate - tốt, nó không đắt và bạn có thể nhận được dưới 50 đô la.

SSL - thực sự quan trọng để bảo mật trang web của bạn và thêm mức độ tin cậy cho khách truy cập trong trang web của bạn. Liên quan đến quá trình đăng nhập, tại sao KHÔNG sử dụng OAuth ? Tính năng này sẽ bỏ qua những rắc rối của người dùng để dành thời gian đăng ký cho trang web của bạn. Lưu lượng truy cập trang web sẽ thực sự được hưởng lợi từ đó. Nghiêm túc!, Tìm một chút thời gian để nghiên cứu nó .

Một tài liệu tham khảo tốt về các câu hỏi SSL phổ biến - Tất cả về Chứng chỉ SSL

Tôi cũng sẽ suy nghĩ về việc sử dụng nhà cung cấp bên thứ ba để đăng nhập (ví dụ openid). Hầu hết các CMS đã hỗ trợ nó.

SSL có nhược điểm. Nó làm chậm trang web của bạn. Có thật không.

Lý do duy nhất khiến mọi người sử dụng chứng chỉ SSL là khi có tiền của khách hàng.

Nếu bạn không liên quan đến tiền của khách hàng, quyết định lấy chứng chỉ SSL hoàn toàn theo định hướng kinh doanh.

Nếu bạn đang có một phụ trợ cho khách hàng của mình, không có tiền liên quan đến trang web, nhưng họ cần chắc chắn rằng họ an toàn, thì chắc chắn hãy lấy chứng chỉ. Đó là một khoản đầu tư cho niềm tin của khách hàng.

Bỏ một số tiền vào chứng chỉ SSL ký tự đại diện có thể là lựa chọn tốt nhất hoặc có thể không. Hãy xem máy chủ web Caddy: https://caddyserver.com/ . Nó có nhiều tính năng hay, đáng chú ý là được hỗ trợ để lấy các chứng chỉ miễn phí từ Let Encrypt. Bạn chỉ có thể chỉ định tất cả các tên miền của bạn trong tệp cấu hình của nó và nó sẽ lấy certs cho chúng. Tính năng thực sự thú vị khác là TLS theo yêu cầu. Nếu bạn kích hoạt nó, bất cứ khi nào nhận được yêu cầu cho một tên miền mới, nó không có chứng nhận, nó sẽ lấy một trong khi bắt tay TLS ban đầu. Điều đó có nghĩa là bạn có thể có hàng ngàn tên miền và không phải định cấu hình từng tên miền trong cấu hình Caddy.

Lưu ý: Nhiều như sự nhiệt tình của tôi có vẻ như vậy, tôi không bị ảnh hưởng bởi Caddy dưới bất kỳ hình thức, hình dạng hoặc hình thức nào, ngoài việc là người dùng khao khát sản phẩm của họ.

Đó là tất cả về người dùng, họ không cung cấp bất kỳ loại bảo mật nào, chứng chỉ chỉ là sản phẩm để bán.

Bạn có thể muốn xem cái này

http://en.wikipedia.org/wiki/Comparison_of_SSL_certert_for_web_servers