ใบรับรอง SSL มีความสำคัญต่อเว็บไซต์เพียงใด

ฉันกำลังเริ่มต้นโครงการของตัวเองมีพื้นที่ลงทะเบียน / เข้าสู่ระบบ (ผ่านการประดิษฐ์ด้วย RoR, แฮชอย่างถูกต้องและเค็มแน่นอน) ขณะที่ฉันใช้โดเมนย่อยและฉันจำเป็นต้องเข้าถึงพวกเขาด้วย iframes (มันเป็นธรรมจริง ๆ !) ฉันต้องการใบรับรองราคาแพงที่ครอบคลุมโดเมนย่อย

เมื่อฉันทำสิ่งนี้ด้วยเวลาและเงินของตัวเองดังนั้นฉันลังเลที่จะทิ้งใบรับรองสองสามร้อยใบรวมถึงสองสามชั่วโมงในการค้นหาสิ่งที่ฉันไม่เคยลองมาก่อน ฉันไม่ได้จัดเก็บข้อมูลที่ละเอียดอ่อนใด ๆ นอกเหนือจากที่อยู่อีเมลและรหัสผ่าน เท่าที่ฉันเข้าใจช่องโหว่เดียวเท่านั้นที่เกิดขึ้นเมื่อผู้ใช้ล็อกหรือลงทะเบียนจากเครือข่ายที่ไม่ได้เข้ารหัส (เช่นร้านกาแฟ) และมีคนกำลังฟังเครือข่าย

ฉันถูกหรือไม่ นี่คือสิ่งที่ฉันควรแก้ไขก่อนที่จะปล่อยสู่ป่า ฉันน่าจะพูดถึงฉันมีผู้ใช้ 25,000 คนที่ลงทะเบียนเพื่อรับการแจ้งเตือนเมื่อฉันเปิดตัวดังนั้นฉันกังวลเกี่ยวกับมัน

ในช่วงเวลาตั้งแต่คำถามนี้ถูกถามจำนวนมากมีการเปลี่ยนแปลง เว็บไซต์ของคุณต้องการ HTTPS หรือไม่ ใช่!

1. ใบรับรองที่มีการตรวจสอบความถูกต้องของโดเมนนั้นฟรีจากผู้ให้บริการหลายรายเช่น Let's Encrypt ใบรับรองเหล่านี้ดีพอ ๆ กับที่คุณจ่ายเงิน ด้วยการระบุชื่อเซิร์ฟเวอร์จึงไม่จำเป็นต้องมีที่อยู่ IP

2. เบราว์เซอร์กำลังทำเครื่องหมายหน้าเว็บที่ไม่ใช่ HTTPSมากขึ้นเรื่อย ๆซึ่งไม่ปลอดภัยมากกว่าเป็นกลาง การทำเครื่องหมายไซต์ของคุณว่าไม่ปลอดภัยนั้นดูไม่ดี

3. เทคโนโลยีเว็บสมัยใหม่ต้องมีการเข้ารหัส ไม่ว่าจะเป็นนโยบายของ Chrome ที่เปิดใช้งานฟีเจอร์ใหม่สำหรับไซต์ HTTPS เท่านั้นการจัดอันดับที่ต้องการของ Google สำหรับไซต์ HTTPSหรือHTTP / 2 ที่เข้ารหัสจะเร็วกว่า HTTP / plaintext แบบธรรมดาคุณกำลังทิ้งโอกาสไว้บนโต๊ะ ใช่การเข้ารหัสจะเพิ่มภาระให้กับเซิร์ฟเวอร์ของคุณ แต่สิ่งนี้ไม่สามารถสังเกตเห็นได้สำหรับเว็บไซต์ส่วนใหญ่และโดยเฉพาะผู้ใช้ที่ไม่สามารถสังเกตเห็นได้

4. ความเป็นส่วนตัวสำคัญกว่าที่เคย ไม่ว่าผู้ให้บริการอินเทอร์เน็ตจะขายบริการ clickstream หรือหน่วยสืบราชการลับของคุณผ่านการเชื่อมต่อทั้งหมดของคุณไม่มีเหตุผลที่ดีที่จะทำให้การสื่อสารใด ๆ ปรากฏต่อสาธารณะ ใช้ HTTPS ตามค่าเริ่มต้นและใช้ HTTP เฉพาะในกรณีที่คุณแน่ใจว่าข้อมูลที่ส่งใด ๆ สามารถเผยแพร่สู่สาธารณะได้อย่างปลอดภัยและอาจถูกแก้ไข

   โปรดทราบว่ารหัสผ่านจะต้องไม่ถูกส่งผ่านการเชื่อมต่อแบบธรรมดา

   ภายใต้กฎระเบียบบางอย่างเช่น EU-GDPR คุณจะต้องใช้มาตรการรักษาความปลอดภัยที่ทันสมัยซึ่งโดยทั่วไปจะรวม HTTPS สำหรับเว็บไซต์

มีสองวิธีที่ไม่ใช่วิธีแก้ปัญหา:

• “ ใช้ OAuth แทนรหัสผ่าน” พลาดจุดที่ยังมีโทเค็นรหัสผ่านเหมือนกันอยู่ อย่างน้อยที่สุดผู้ใช้ของคุณจะมีคุกกี้เซสชันที่ต้องได้รับการป้องกันเนื่องจากทำหน้าที่เป็นรหัสผ่านชั่วคราว

• ใบรับรองที่ลงนามเองถูกปฏิเสธโดยเบราว์เซอร์ เป็นไปได้ที่จะเพิ่มข้อยกเว้น แต่ผู้ใช้ส่วนใหญ่จะไม่สามารถทำได้ โปรดทราบว่าการแสดงใบรับรองที่ลงนามด้วยตนเองนั้นไม่สามารถแยกแยะผู้ใช้จากการโจมตี MITM โดยใช้ใบรับรองที่ไม่ถูกต้อง

ดังนั้นใบรับรองฟรีและ HTTPS สามารถทำให้ไซต์ของคุณเร็วขึ้น ไม่มีข้อแก้ตัวใด ๆ ที่ถูกต้องอีกต่อไป ขั้นตอนถัดไป: อ่านคู่มือนี้ในการโยกย้ายไปยัง HTTPS

ฉันต้องการซื้อ ค่าใช้จ่ายของใบรับรองไม่มากนักถือว่าเป็นระดับความน่าเชื่อถือที่ผู้ใช้มอบให้ คิดว่าเป็นการลงทุน หากแอปพลิเคชันของคุณดูเหมือนจะไม่ปลอดภัย (และใบรับรอง SSL ที่ลงชื่ออย่างถูกต้องจะถือว่ามีเว็บไซต์ที่ปลอดภัย) ผู้คนอาจหมดความสนใจในการใช้ผลิตภัณฑ์ในอนาคตของคุณ

หากคุณเป็นเพียง "รวบรวมอีเมลและรหัสผ่านคุณอาจต้องการลองสร้างใบรับรอง OpenSSL ของคุณเอง (http://www.openssl.org/) ก่อนที่จะทำการจ่ายเงินใด ๆ

แต่...

นี่เป็นเพียงบางสิ่งที่คุณสามารถทำได้เพื่อ "ลองทำสิ่งต่าง ๆ " เพราะผู้ใช้เว็บไซต์จะได้รับการรับรองเนื่องจากนี่จะไม่ใช่ใบรับรองที่ยอมรับ / ยอมรับ

คำแนะนำของฉันคือการลงทุนใน SSL เพียงเพราะอีเมลและรหัสผ่านเป็นข้อมูลส่วนตัวที่ละเอียดอ่อนมากที่สามารถนำไปสู่ความเสี่ยงในรูปแบบอื่น (กล่าวว่าฉันใช้รหัสผ่านเดียวกันสำหรับบัญชีอีเมลของฉัน - หากข้อมูลนี้รั่วไหลออกมาอีเมลทั้งหมด ข้อมูลถูกเปิดเผยรวมถึงข้อมูล CC ข้อมูลการเข้าถึงใด ๆ และทั้งหมดที่ฉันมีสำหรับบริการออนไลน์อื่น ๆ และพระเจ้าก็รู้ว่ามีอะไรอีกที่ ... )

เราต้องการเว็บที่ปลอดภัยและน่าเชื่อถือและไม่กี่ bucks คือราคาเล็ก ๆ สำหรับชำระค่าความปลอดภัยของผู้ใช้ (แม้พื้นฐานเหมือน SSL)

ความกังวลด้านความปลอดภัย

เท่าที่ฉันเข้าใจช่องโหว่เดียวเท่านั้นที่เกิดขึ้นเมื่อผู้ใช้ล็อกหรือลงทะเบียนจากเครือข่ายที่ไม่ได้เข้ารหัส (เช่นร้านกาแฟ) และมีคนกำลังฟังเครือข่าย

สิ่งนี้ไม่เป็นความจริงข้อมูลที่ส่งระหว่างผู้ใช้กับเว็บไซต์ของคุณจะไม่ปลอดภัย เช่นเดียวกับตัวอย่างhttp://www.pcmag.com/article2/0,2817,2406837,00.aspรายละเอียดเรื่องราวของไวรัสที่เปลี่ยนการตั้งค่า DNS ของผู้คน ไม่ว่าเครือข่ายปัจจุบันของคุณจะได้รับการปกป้องดีเพียงใดการส่งใด ๆ บนอินเทอร์เน็ตจะต้องผ่านเซิร์ฟเวอร์ต่าง ๆ มากมายก่อนที่จะส่งถึงคุณ หนึ่งในนั้นอาจเป็นอันตราย

ใบรับรอง SSL ช่วยให้คุณสามารถเข้ารหัสข้อมูลของคุณในการเข้ารหัสทางเดียวที่สามารถถอดรหัสที่เซิร์ฟเวอร์ของคุณ ดังนั้นไม่ว่าข้อมูลจะอยู่ที่ใดในเซิร์ฟเวอร์ของคุณไม่มีใครสามารถอ่านข้อมูลได้

ในกรณีส่วนใหญ่และสิ่งนี้ขึ้นอยู่กับโฮสติ้งของคุณการติดตั้งใบรับรองค่อนข้างไม่เจ็บปวด ผู้ให้บริการส่วนใหญ่จะติดตั้งให้คุณ

ประเภทใบรับรอง SSL

ตามที่ระบุไว้ในคำตอบบางข้อคุณสามารถสร้างใบรับรอง SSL ของคุณเอง ใบรับรอง SSL เป็นเพียงการจับคู่คีย์สาธารณะและส่วนตัว เซิร์ฟเวอร์ของคุณให้รหัสสาธารณะลูกค้าใช้เพื่อเข้ารหัสข้อมูลที่กำลังส่งและมีเฉพาะกุญแจส่วนตัวบนเซิร์ฟเวอร์ของคุณเท่านั้นที่สามารถถอดรหัสได้ OpenSSL เป็นเครื่องมือที่ดีสำหรับการสร้างของคุณเอง

ใบรับรอง SSL ที่เซ็นชื่อ

การจัดซื้อใบรับรองจากผู้ออกใบรับรองจะเพิ่มระดับความปลอดภัยและความไว้วางใจอีกระดับ อีกครั้งเป็นไปได้ที่บางคนสามารถนั่งระหว่างเบราว์เซอร์ไคลเอ็นต์และเว็บเซิร์ฟเวอร์ของคุณ พวกเขาเพียงแค่ต้องมอบรหัสสาธารณะให้กับลูกค้าของพวกเขาถอดรหัสข้อมูลด้วยรหัสส่วนตัวของพวกเขาเข้ารหัสอีกครั้งด้วยรหัสสาธารณะของคุณและส่งต่อให้กับคุณและไม่ใช่ผู้ใช้หรือคุณจะรู้

เมื่อผู้ใช้ได้รับใบรับรองที่ลงนามแล้วเบราว์เซอร์ของพวกเขาจะเชื่อมต่อกับผู้ให้บริการการรับรองความถูกต้อง (Verisign และอื่น ๆ ) เพื่อตรวจสอบว่ารหัสสาธารณะที่พวกเขาได้รับนั้นเป็นจริงสำหรับเว็บไซต์ของคุณและไม่มีการแก้ไขดัดแปลง

ใช่คุณควรมีใบรับรอง SSL ที่ลงชื่อสำหรับไซต์ของคุณ มันทำให้คุณดูเป็นมืออาชีพมากขึ้นทำให้ผู้ใช้ของคุณมีใจที่จะใช้เว็บไซต์ของคุณมากขึ้นและที่สำคัญที่สุดคือปกป้องคุณจากการโจรกรรมข้อมูล

ข้อมูลเพิ่มเติมเกี่ยวกับการโจมตี Man In The Middle ที่เป็นแกนหลักของปัญหาที่นี่ http://en.wikipedia.org/wiki/Man-in-the-middle_attack

Passworrds ควรได้รับการปฏิบัติเหมือนเป็นข้อมูลส่วนบุคคล - การใช้รหัสผ่านซ้ำตามจริงอาจมีความอ่อนไหวมากกว่า SSN

ด้วยสิ่งนี้และคำอธิบายของคุณฉันสงสัยว่าทำไมคุณจึงเก็บรหัสผ่านไว้ทั้งหมด ...

ฉันจะใช้ OpenID และถ้าคุณรู้สึกว่าจำเป็นต้องมีการเข้าสู่ระบบของคุณเองให้สร้างโดเมนย่อยเดียวสำหรับนั้นและใช้ OpenID ทุกที่อื่น

หากคุณไม่ทำ OpenID คุณยังสามารถใช้รูปแบบการเข้าสู่ระบบโดเมนเดียวกันเพื่อป้องกันไม่ให้ต้องใช้ใบรับรองตัวแทน แต่อย่างที่ฉันกล่าวในรหัสผ่านโลกในปัจจุบันอย่างน้อยมีความละเอียดอ่อนเหมือน SSN / วันเกิดอย่าเก็บรวบรวม ถ้าคุณไม่ต้อง

RapidSSL ผ่าน Trustico เพียง $ 30 หรือคุณสามารถรับ RapidSSL wildcard ในราคาต่ำกว่า $ 160 - พวกเขายังมีการรับประกันราคาดังนั้นหากคุณพบว่าราคาถูกกว่าพวกเขาจะจับคู่มัน

หากคุณมี IP ที่ไม่ซ้ำใครคุณอาจได้รับใบรับรองโดยเฉพาะถ้าคุณจัดการกับข้อมูลใด ๆ เนื่องจากคุณสามารถรับใบรับรองที่เชื่อถือได้ฟรีจากStartSSLจึงไม่มีเหตุผลที่จะไม่มีใบรับรอง

มันจะเป็นการดีถ้าจะซื้อ อย่างที่กล่าวไปแล้วก็คือALL about end user trustเว็บไซต์ของคุณ

so I'm hesitant to drop a couple of hundreds on a certificate - ดีไม่แพงและคุณอาจได้รับต่ำกว่า $ 50

SSL - เป็นสิ่งสำคัญมากในการรักษาความปลอดภัยเว็บไซต์ของคุณและเพิ่มระดับความมั่นใจให้กับผู้เยี่ยมชมเว็บไซต์ของคุณ ในเรื่องที่เกี่ยวกับกระบวนการเข้าสู่ระบบทำไมไม่ใช้OAuth ? คุณลักษณะนี้จะข้ามความยุ่งยากของผู้ใช้เพื่อใช้เวลาในการลงทะเบียนสำหรับเว็บไซต์ของคุณ ปริมาณการใช้เว็บไซต์ของผู้ใช้จะได้รับประโยชน์อย่างแท้จริง อย่างจริงจัง !, หาเวลาในการวิจัยบาง

การอ้างอิงที่ดีสำหรับคำถามทั่วไปเกี่ยวกับ SSL - เกี่ยวกับใบรับรอง SSL

ฉันจะคิดถึงการใช้ผู้ให้บริการบุคคลที่สามสำหรับการเข้าสู่ระบบ (เช่น openid) CMS ส่วนใหญ่รองรับอยู่แล้ว

SSL มีข้อเสีย ทำให้เว็บไซต์ของคุณช้าลง จริงๆ.

เหตุผลเดียวที่คนใช้ใบรับรอง SSL คือเมื่อมีเงินของลูกค้าเกี่ยวข้อง

หากคุณไม่ได้เกี่ยวข้องกับเงินของลูกค้าการตัดสินใจใช้ใบรับรอง SSL นั้นเป็นการมุ่งเน้นธุรกิจอย่างแท้จริง

หากคุณมีแบ็กเอนด์ให้กับลูกค้าของคุณโดยไม่มีเงินเกี่ยวข้องกับเว็บไซต์ แต่พวกเขาจำเป็นต้องตรวจสอบให้แน่ใจว่าพวกเขาปลอดภัยแล้วรับรองใบรับรอง เป็นการลงทุนเพื่อความไว้วางใจของลูกค้า

การทิ้งเงินลงในใบรับรอง SSL ไวด์การ์ดอาจเป็นตัวเลือกที่ดีที่สุดหรืออาจไม่ใช่ ลองดูที่เว็บเซิร์ฟเวอร์แคดดี้: https://caddyserver.com/ มันมีคุณสมบัติที่ดีมากมายในตัวรองรับสะดุดตาสำหรับใบรับรองฟรีจาก Let's Encrypt คุณสามารถระบุโดเมนทั้งหมดของคุณในไฟล์กำหนดค่าและจะรับ certs สำหรับโดเมนเหล่านั้น คุณสมบัติที่ยอดเยี่ยมอื่น ๆ คือ On-Demand TLS หากคุณเปิดใช้งานเมื่อใดก็ตามที่มันได้รับการร้องขอสำหรับโดเมนใหม่ที่ไม่มีใบรับรองก็จะคว้าหนึ่งในระหว่างการจับมือ TLS เริ่มต้นนั่นหมายความว่าคุณสามารถมีโดเมนได้นับพันโดเมนและไม่จำเป็นต้องกำหนดค่าแต่ละโดเมนในการกำหนดค่าแคดดี้

หมายเหตุ: มากที่สุดเท่าที่ความกระตือรือร้นของฉันอาจดูเหมือนว่าฉันไม่ได้ afflilated กับแคดดี้ในทางใดรูปร่างหรือรูปแบบอื่น ๆ นอกเหนือจากการเป็นผู้ใช้ตัวยงของผลิตภัณฑ์ของพวกเขา

มันคือทั้งหมดที่เกี่ยวกับผู้ใช้พวกเขาไม่ได้ให้การรักษาความปลอดภัยใด ๆ ใบรับรองเป็นเพียงผลิตภัณฑ์ที่จะขาย

คุณอาจต้องการดูนี้

http://en.wikipedia.org/wiki/Comparison_of_SSL_certificates_for_web_servers