Chứng chỉ SSL quan trọng như thế nào đối với một trang web?


14

Tôi đang bootstrapping dự án của riêng mình, nó có một khu vực đăng ký / đăng nhập (thông qua phát minh với RoR, tất nhiên được băm và muối). Vì tôi đang sử dụng tên miền phụ và tôi cần truy cập chúng bằng iframe (thực sự hợp lý!) Tôi cần một trong những chứng chỉ đắt tiền bao gồm tên miền phụ.

Vì tôi đang làm việc này vì thời gian và tiền bạc của chính mình, nên tôi ngần ngại bỏ một vài trăm vào một chứng chỉ, cộng với một vài giờ đào sâu vào thứ gì đó mà tôi chưa từng thử trước đây. Tôi không lưu trữ bất kỳ thông tin nhạy cảm nào ngoài địa chỉ email và mật khẩu. Theo tôi hiểu, lỗ hổng duy nhất xảy ra khi người dùng đăng nhập hoặc đăng ký từ một mạng không được mã hóa (chẳng hạn như quán cà phê) và ai đó đang lắng nghe mạng.

Tôi có bị rẻ không? Đây có phải là một cái gì đó tôi nên giải quyết trước khi phát hành vào tự nhiên. Tôi có lẽ nên đề cập đến việc tôi có 25.000 người dùng đã đăng ký để được thông báo khi tôi khởi chạy, vì vậy tôi rất lo lắng về điều đó.


1
Bởi vì anh ta cần một chứng chỉ ký tự đại diện để bao gồm các tên miền phụ của mình.
pritaeas

1
Nhưng các tên miền phụ có thực sự cần thiết? Có thể đặt một số loại proxy (an toàn) trước tất cả chúng để làm cho nó trông giống như một trang web không?
Donal Fellows

3
Nếu bạn có 25.000 người dùng đang chờ đợi sự ra mắt của bạn, thì việc chi tiêu hàng trăm đô la không phải là vấn đề.
marco-fiset

2
Mặc dù có rất nhiều câu trả lời và nhận xét, chứng chỉ SSL đã ký là một phần thiết yếu để bảo mật dữ liệu trên trang web của bạn. Bất cứ điều gì người dùng nhìn thấy hoặc gửi đều có thể bị theo dõi nếu bạn không có, bất kể họ kết nối từ đâu.
Chris

2
@RyanKinal Uhh ... những cái đó thực sự hoạt động và xác nhận chính xác trên các trình duyệt tiêu chuẩn? Tôi nghĩ rằng bất kỳ CA nào cung cấp certs miễn phí đều có danh sách khóa được liệt kê vào danh sách đen
TheLQ

Câu trả lời:


5

Trong thời gian kể từ khi câu hỏi này được hỏi, rất nhiều thứ đã thay đổi. Trang web của bạn có cần HTTPS không? ĐÚNG!

  1. Chứng chỉ có xác thực tên miền là miễn phí từ nhiều nhà cung cấp, ví dụ: Let Encrypt. Những chứng chỉ này tốt như những chứng chỉ mà bạn trả tiền. Nhờ nhận dạng tên máy chủ, không cần thiết phải sở hữu địa chỉ IP.

  2. Các trình duyệt đang ngày càng đánh dấu các trang không phải HTTPS là không an toàn , thay vì trung tính. Có trang web của bạn được đánh dấu là không an toàn không nhìn tốt.

  3. Các công nghệ web hiện đại yêu cầu mã hóa. Cho dù chính sách của Chrome chỉ kích hoạt các tính năng mới cho các trang web HTTPS, xếp hạng ưa thích của Google cho các trang web HTTPS hay HTTP / 2 được mã hóa nhanh hơn HTTP / 1.1 , bạn sẽ bỏ qua các cơ hội trên bàn. Có, mã hóa sẽ thêm tải cho máy chủ của bạn, nhưng điều này không được chú ý đối với hầu hết các trang web - và đặc biệt không được người dùng chú ý.

  4. Quyền riêng tư là quan trọng hơn bao giờ hết. Cho dù các ISP bán dòng nhấp hoặc dịch vụ bí mật của bạn thông qua tất cả các kết nối của bạn, không có lý do chính đáng nào để mọi thông tin liên lạc được hiển thị công khai. Sử dụng HTTPS theo mặc định và chỉ sử dụng HTTP nếu bạn chắc chắn rằng bất kỳ thông tin được truyền nào có thể được công khai một cách an toàn và có thể bị giả mạo.

    Lưu ý rằng mật khẩu không được truyền qua các kết nối văn bản gốc.

    Theo một số quy định như EU-GDPR, bạn được yêu cầu thực hiện các biện pháp bảo mật hiện đại, thường bao gồm HTTPS cho các trang web.

Có một vài giải pháp không:

  • Sử dụng OAuth thay vì mật khẩu. Lỗi bỏ lỡ điểm vẫn còn các mã thông báo giống như mật khẩu. Ít nhất, người dùng của bạn sẽ có một cookie phiên phải được bảo vệ, vì nó phục vụ như một mật khẩu tạm thời.

  • Chứng chỉ tự ký bị từ chối bởi trình duyệt. Có thể thêm một ngoại lệ, nhưng hầu hết người dùng sẽ không thể làm điều đó. Lưu ý rằng việc xuất trình chứng chỉ tự ký không thể phân biệt với người dùng khỏi cuộc tấn công MITM bằng chứng chỉ không hợp lệ.

Vì vậy: Chứng chỉ là miễn phí và HTTPS có thể làm cho trang web của bạn nhanh hơn. Không còn bất kỳ lý do hợp lệ. Các bước tiếp theo: đọc hướng dẫn này về việc di chuyển sang HTTPS .


Tôi đồng ý rằng xu hướng hiện nay là https trang web của bạn, ngay cả khi bạn không xử lý đăng ký người dùng và như vậy, vì những lợi ích bạn đề cập. Tôi đang chọn đây là câu trả lời đúng.
phương pháp của

1
Ngoài ra: HTTPS không chỉ mang lại sự riêng tư mà còn mang lại sự toàn vẹn. Do mã hóa, bạn cũng có thể chắc chắn rằng dữ liệu mà người dùng nhận được thực sự là dữ liệu được gửi và không được ai đó sửa đổi trên đường
johannes

24

Tôi sẽ mua một cái. Chi phí của chứng chỉ không lớn đến mức được coi là mức độ tin cậy mà nó cung cấp cho người dùng. Hãy nghĩ về nó như một khoản đầu tư. Nếu các ứng dụng của bạn dường như không an toàn (và chứng chỉ SSL được ký hợp lệ sẽ cho rằng trang web đó an toàn) mọi người có thể mất hứng thú sử dụng các sản phẩm trong tương lai của bạn.


1
SSL tổng thể là một "cảm giác tốt" cho những người không phải là công nghệ
Jakub

và mặt khác: không có SSL là 'cảm thấy rất tệ và đáng ngờ' đối với người dùng thông thường
Andrzej Bobak

Chỉ có giấy chứng nhận đã ký mới có thể cung cấp niềm tin. Vẫn có thể bị đánh cắp dữ liệu mà không cần chứng chỉ đã ký. Người đàn ông trong các cuộc tấn công ở giữa vẫn hoạt động bằng cách cung cấp chứng chỉ giả cho khách hàng.
Chris

Cảm ơn các con trỏ, sự đồng thuận chung dường như chỉ ra rằng SSL không phải là thứ tôi nên lướt qua. Tôi đã cài đặt chứng chỉ miễn phí từ StartSSL và sẽ mua ký tự đại diện khi tôi thực sự khởi chạy phương thức.ac
phương thức hoạt động vào

5

Nếu bạn "chỉ" thu thập e-mail và mật khẩu, bạn có thể muốn thử tạo chứng chỉ OpenSSL của riêng mình (http://www.openssl.org/) trước khi nhận bất kỳ khoản tiền nào.

Nhưng...

Đây chỉ là điều bạn có thể làm để "thử mọi thứ" vì người dùng trang web sẽ nhận được cảnh báo vì đây sẽ không phải là chứng chỉ được công nhận / chấp nhận.

Lời khuyên của tôi là đầu tư vào SSL, đơn giản vì email và mật khẩu là dữ liệu riêng tư rất nhạy cảm có thể dẫn đến các loại phơi nhiễm khác (giả sử tôi sử dụng cùng một mật khẩu cho tài khoản email của mình - nếu thông tin này bị rò rỉ, thì tất cả email dữ liệu được phơi bày, bao gồm dữ liệu CC, bất kỳ và tất cả thông tin truy cập tôi có cho các dịch vụ trực tuyến khác và chúa biết còn gì nữa ...)

Chúng tôi cần một WEB an toàn và đáng tin cậy và vài chục đô la là một cái giá nhỏ để trả cho bảo mật người dùng. (thậm chí cơ bản như SSL)


5

Quan ngại về an ninh

Theo tôi hiểu, lỗ hổng duy nhất xảy ra khi người dùng đăng nhập hoặc đăng ký từ một mạng không được mã hóa (chẳng hạn như quán cà phê) và ai đó đang lắng nghe mạng.

Điều này không đúng, dữ liệu được truyền giữa người dùng và trang web của bạn không bao giờ an toàn. Chỉ là một ví dụ, http://www.pcmag.com/article2/0,2817,2406837,00.asp nêu chi tiết câu chuyện về một loại virus đã thay đổi cài đặt DNS của mọi người. Cho dù mạng hiện tại của bạn được bảo vệ tốt đến mức nào, bất kỳ nội dung gửi nào trên internet đều đi qua nhiều máy chủ khác nhau trước khi nó đến mạng của bạn. Bất kỳ một trong số họ có thể là độc hại.

Chứng chỉ SSL cho phép bạn mã hóa dữ liệu của mình theo cách mã hóa một chiều chỉ có thể được giải mã tại máy chủ của bạn. Vì vậy, bất kể nơi nào dữ liệu nhảy trên máy chủ của bạn, không ai khác có thể đọc dữ liệu.

Trong hầu hết các trường hợp, và điều này phụ thuộc vào lưu trữ của bạn, việc cài đặt chứng chỉ khá khó khăn. Hầu hết các nhà cung cấp sẽ cài đặt nó cho bạn.

Các loại chứng chỉ SSL

Như đã lưu ý trong một số câu trả lời, bạn có thể tạo chứng chỉ SSL của riêng mình. Chứng chỉ SSL chỉ là một cặp khóa công khai và riêng tư. Máy chủ của bạn cung cấp khóa chung, khách hàng sử dụng nó để mã hóa dữ liệu mà nó đang gửi và chỉ có khóa riêng trên máy chủ của bạn mới có thể giải mã được. OpenSSL là một công cụ tốt để tạo riêng của bạn.

Chứng chỉ SSL đã ký

Mua chứng chỉ từ cơ quan cấp chứng chỉ sẽ thêm một mức độ bảo mật và tin cậy. Một lần nữa, có thể ai đó có thể ngồi giữa trình duyệt máy khách và máy chủ web của bạn. Họ chỉ cần cung cấp cho khách hàng khóa công khai của riêng họ, giải mã thông tin bằng khóa riêng của họ, mã hóa lại bằng khóa chung của bạn và chuyển nó cho bạn và cả người dùng và bạn đều không biết.

Khi người dùng nhận được Chứng chỉ đã ký, trình duyệt của họ sẽ kết nối với nhà cung cấp xác thực (Verisign, v.v.) để xác thực rằng khóa công khai họ nhận được thực tế là khóa cho trang web của bạn và không có sự giả mạo nào.

Vì vậy, có, bạn nên có chứng chỉ SSL đã ký cho trang web của mình. Nó làm cho bạn trông chuyên nghiệp hơn, giúp người dùng có tâm hơn trong việc sử dụng trang web của bạn và quan trọng nhất là bảo vệ bạn khỏi bị đánh cắp dữ liệu.

Thông tin thêm về cuộc tấn công Man In The Middle là cốt lõi của vấn đề ở đây. http://en.wikipedia.org/wiki/Man-in-the-middle_attack


2

Passworrds nên được coi là thông tin cá nhân - sử dụng lại mật khẩu một cách thẳng thắn, nó có lẽ nhạy cảm hơn SSN.

Cho rằng và mô tả của bạn, tôi tự hỏi tại sao bạn đang lưu trữ một mật khẩu ...

Tôi sẽ sử dụng OpenID và nếu bạn cảm thấy cần phải có thông tin đăng nhập của riêng mình, hãy tạo một tên miền phụ duy nhất cho điều đó và sử dụng OpenID ở mọi nơi khác.

Nếu bạn sẽ không làm OpenID, bạn vẫn có thể sử dụng cùng một mẫu login.yourdomain để không cần chứng chỉ ký tự đại diện, nhưng như tôi đã nói, trong các mật khẩu thế giới ngày nay ít nhất là nhạy cảm như SSN / birthday, đừng thu thập nó nếu bạn không phải


1

RapidSSL thông qua Trustico chỉ có 30 đô la hoặc bạn có thể nhận được thẻ đại diện RapidSSL với giá dưới 160 đô la - họ cũng có một đảm bảo về giá, vì vậy nếu bạn thấy nó rẻ hơn thì họ sẽ khớp với nó.


1

Nếu bạn có một IP duy nhất, bạn cũng có thể nhận được chứng chỉ, đặc biệt nếu bạn xử lý bất kỳ dữ liệu nào thậm chí còn nhạy cảm từ xa. Vì bạn có thể nhận được chứng chỉ tin cậy miễn phí từ StartSSL , nên thực sự không có lý do gì để không có chứng chỉ.


1

Sẽ là khôn ngoan khi mua một cái. Như đã đề cập, nó là ALL about end user trusttrang web của bạn.

so I'm hesitant to drop a couple of hundreds on a certificate - tốt, nó không đắt và bạn có thể nhận được dưới 50 đô la.

SSL - thực sự quan trọng để bảo mật trang web của bạn và thêm mức độ tin cậy cho khách truy cập trong trang web của bạn. Liên quan đến quá trình đăng nhập, tại sao KHÔNG sử dụng OAuth ? Tính năng này sẽ bỏ qua những rắc rối của người dùng để dành thời gian đăng ký cho trang web của bạn. Lưu lượng truy cập trang web sẽ thực sự được hưởng lợi từ đó. Nghiêm túc!, Tìm một chút thời gian để nghiên cứu nó .

Một tài liệu tham khảo tốt về các câu hỏi SSL phổ biến - Tất cả về Chứng chỉ SSL


0

Tôi cũng sẽ suy nghĩ về việc sử dụng nhà cung cấp bên thứ ba để đăng nhập (ví dụ openid). Hầu hết các CMS đã hỗ trợ nó.


-1

SSL có nhược điểm. Nó làm chậm trang web của bạn. Có thật không.

Lý do duy nhất khiến mọi người sử dụng chứng chỉ SSL là khi có tiền của khách hàng.

Nếu bạn không liên quan đến tiền của khách hàng, quyết định lấy chứng chỉ SSL hoàn toàn theo định hướng kinh doanh.

Nếu bạn đang có một phụ trợ cho khách hàng của mình, không có tiền liên quan đến trang web, nhưng họ cần chắc chắn rằng họ an toàn, thì chắc chắn hãy lấy chứng chỉ. Đó là một khoản đầu tư cho niềm tin của khách hàng.


3
-1: Bạn phải LUÔN sử dụng chứng chỉ SSL khi người dùng của bạn gửi dữ liệu nhạy cảm như mật khẩu để đăng ký và đăng nhập. Không chỉ khi có liên quan đến tiền.
marco-fiset

2
Tôi không đồng ý. Từ quan điểm kinh doanh, rõ ràng là không cần thiết. Chỉ mua chứng chỉ SSL nếu như trong câu trả lời, bạn liên quan đến tiền của khách hàng.
Florian Margaine

3
@Florian: SE là một trang web bị hỏng , nếu nó hỏi bạn về thông tin cá nhân nhưng không mã hóa nó. Một mạng lưới khổng lồ này, đặc biệt là một trang hướng đến các lập trình viên, nên biết rõ hơn. Đối với tôi, tuy nhiên, họ chuyển hướng đến cung cấp OpenID của tôi, mà BTW không sử dụng SSL. Câu hỏi là liệu sự đổ vỡ đó có đáng để sửa chữa không. Và đối với một trang web như SO không thực sự có bất kỳ thông tin cá nhân nào (ngoài mật khẩu và địa chỉ email), có thể họ đã quyết định là không. Nhưng đó là một quyết định phải được đưa ra và sống cùng, thay vì chỉ nói "không có số CC? Sau đó bắt vít SSL".
cHao

1
Tôi cũng bị lừa vì thiếu SSL, nhưng hóa ra hình thức đăng ký thực sự được nhúng trong iframe gọi địa chỉ https.
phương pháp của

1
@FlorianMargaine - Google đã chứng minh rằng các khiếu nại về SSL của bạn làm chậm trang web của bạn là lỗi.
Ramhound

-1

Bỏ một số tiền vào chứng chỉ SSL ký tự đại diện có thể là lựa chọn tốt nhất hoặc có thể không. Hãy xem máy chủ web Caddy: https://caddyserver.com/ . Nó có nhiều tính năng hay, đáng chú ý là được hỗ trợ để lấy các chứng chỉ miễn phí từ Let Encrypt. Bạn chỉ có thể chỉ định tất cả các tên miền của bạn trong tệp cấu hình của nó và nó sẽ lấy certs cho chúng. Tính năng thực sự thú vị khác là TLS theo yêu cầu. Nếu bạn kích hoạt nó, bất cứ khi nào nhận được yêu cầu cho một tên miền mới, nó không có chứng nhận, nó sẽ lấy một trong khi bắt tay TLS ban đầu. Điều đó có nghĩa là bạn có thể có hàng ngàn tên miền và không phải định cấu hình từng tên miền trong cấu hình Caddy.

Lưu ý: Nhiều như sự nhiệt tình của tôi có vẻ như vậy, tôi không bị ảnh hưởng bởi Caddy dưới bất kỳ hình thức, hình dạng hoặc hình thức nào, ngoài việc là người dùng khao khát sản phẩm của họ.


-4

Đó là tất cả về người dùng, họ không cung cấp bất kỳ loại bảo mật nào, chứng chỉ chỉ là sản phẩm để bán.

Bạn có thể muốn xem cái này

http://en.wikipedia.org/wiki/Comparison_of_SSL_certert_for_web_servers


Tôi không nghĩ những gì bạn đang nói là đúng. Chứng chỉ không cung cấp bảo mật, nhưng nó là một danh tính và có thể xác định các đối tượng là cấp độ bảo mật đầu tiên?
Ozair Kafray

xác định ai? làm sao? nếu bạn có một công ty tên là "Stuff", bạn mua một chứng chỉ và bạn được công nhận là "Stuff", giai đoạn. nếu bạn nói rằng bạn là "Ngẫu nhiên", bạn được công nhận là "Ngẫu nhiên"; Bạn có nghĩ rằng những kẻ này có một mối quan tâm tối thiểu để trở thành người cảnh sát qua internet?
dùng827992

Không, nhưng gần đây chúng tôi đã mua chứng chỉ cho sản phẩm của chúng tôi vcred.com và, geotrust đã mất 3 tháng để xác minh chúng tôi là một công ty là riksof.com. Đó là đối với Pakistan, đối với các quốc gia khác, họ mất ít thời gian hơn và đó là vì họ xác minh chúng tôi. Tôi nghĩ rằng verisign cũng sẽ có một quy trình xác minh nghiêm ngặt. Vì vậy, họ không bán nó như một sản phẩm theo quan điểm của tôi. Người ta cũng có thể tự tạo chứng chỉ và sau đó sự vắng mặt của CA dễ dàng được xác định
Ozair Kafray

công ty này là một ngoại lệ, nó cũng phụ thuộc vào loại chứng chỉ bạn mua, nhưng cuối cùng bạn có thể chỉ là một người khác và không khó để đạt được điều đó.
dùng827992

2
-1 Chứng chỉ cung cấp bảo mật. Đó là chức năng chính của họ.
Chris
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.