Jak ważny jest certyfikat SSL dla strony internetowej?

Ja ładuję swój własny projekt, ma on obszar rejestracji / logowania (poprzez opracowanie z RoR, odpowiednio zaszyfrowany i zasolony oczywiście). Ponieważ korzystam z subdomen i muszę uzyskać do nich dostęp za pomocą ramek iframe (jest to naprawdę uzasadnione!) Potrzebuję jednego z tych drogich certyfikatów obejmujących subdomeny.

Ponieważ robię to z własnego czasu i pieniędzy, waham się nad umieszczeniem kilku setek na certyfikacie, plus kilku godzin zagłębiania się w coś, czego wcześniej nie próbowałem. Nie przechowuję żadnych poufnych informacji poza adresem e-mail i hasłem. O ile rozumiem, jedyna luka występuje, gdy użytkownik loguje się lub rejestruje z niezaszyfrowanej sieci (np. Kawiarni) i ktoś nasłuchuje w sieci.

Czy jestem tani? Czy powinienem się tym zająć przed wypuszczeniem na wolność. Prawdopodobnie powinienem wspomnieć, że mam 25 000 użytkowników zarejestrowanych, aby otrzymywać powiadomienia po uruchomieniu, więc denerwuję się z tego powodu.

Od czasu, gdy pytanie zostało zadane, wiele się zmieniło. Czy Twoja strona wymaga HTTPS? TAK!

1. Certyfikaty z weryfikacją domeny są bezpłatne od wielu dostawców, np. Let's Encrypt. Te certyfikaty są tak samo dobre, jak te, za które płacisz pieniądze. Dzięki identyfikacji nazwy serwera nie jest konieczne posiadanie adresu IP.

2. Przeglądarki coraz częściej zaznaczają strony inne niż HTTPS jako niepewne , a nie neutralne. Oznaczenie witryny jako niezabezpieczonej nie wygląda dobrze.

3. Nowoczesne technologie internetowe wymagają szyfrowania. Niezależnie od tego, czy jest to zasada Chrome polegająca na włączaniu tylko nowych funkcji dla witryn HTTPS, preferowany przez Google ranking witryn HTTPS , czy szyfrowanie HTTP / 2 jest szybsze niż zwykły tekst HTTP / 1.1 , pozostawiasz możliwości na stole. Tak, szyfrowanie powoduje obciążenie serwerów, ale jest to niezauważalne w przypadku większości witryn - a szczególnie niezauważalne dla użytkowników.

4. Prywatność jest ważniejsza niż kiedykolwiek. Niezależnie od tego, czy są to dostawcy usług internetowych sprzedający Twój strumień kliknięć, czy tajne usługi przeszukujące wszystkie Twoje połączenia, nie ma żadnego powodu, aby pozostawić publicznie widoczną komunikację. Domyślnie używaj HTTPS i używaj HTTP tylko wtedy, gdy masz pewność, że wszelkie przesyłane informacje mogą być publicznie bezpieczne i mogą zostać naruszone.

   Pamiętaj, że hasła nie mogą być przesyłane przez połączenia w postaci zwykłego tekstu.

   Zgodnie z niektórymi przepisami, takimi jak RODO UE, musisz wprowadzić najnowocześniejsze środki bezpieczeństwa, które ogólnie obejmują HTTPS dla stron internetowych.

Istnieje kilka nierozwiązań:

• „Użyj OAuth zamiast haseł” pomija punkt, w którym nadal występują tokeny podobne do haseł. Przynajmniej twoi użytkownicy będą mieli sesyjny plik cookie, który musi być chroniony, ponieważ służy jako tymczasowe hasło.

• Certyfikaty z podpisem własnym są odrzucane przez przeglądarki. Można dodać wyjątek, ale większość użytkowników nie będzie w stanie tego zrobić. Pamiętaj, że przedstawienie samopodpisanego certyfikatu jest nie do odróżnienia od ataku MITM przy użyciu nieprawidłowego certyfikatu.

Więc: Certyfikaty są bezpłatne, a HTTPS może przyspieszyć twoją witrynę. Nie ma już żadnej uzasadnionej wymówki. Następne kroki: przeczytaj ten przewodnik na temat migracji do HTTPS .

Kupiłbym jeden. Koszt certyfikatu nie jest tak duży, biorąc pod uwagę poziom zaufania, jaki zapewnia on użytkownikom. Pomyśl o tym jak o inwestycji. Jeśli twoje aplikacje nie wydają się bezpieczne (a poprawnie podpisane certyfikaty SSL zakładają, że witryna jest bezpieczna) ludzie mogą stracić zainteresowanie korzystaniem z twoich przyszłych produktów.

Jeśli „zbierasz” tylko e-maile i hasła, możesz spróbować stworzyć własny certyfikat OpenSSL (http://www.openssl.org/) przed przekazaniem jakichkolwiek środków.

Ale...

Jest to po prostu coś, co możesz zrobić, aby „wypróbować”, ponieważ użytkownicy witryny otrzymają ostrą walkę, ponieważ nie będzie to uznany / zaakceptowany certyfikat.

Radzę zainwestować w SSL, po prostu dlatego, że e-mail i hasła są bardzo poufnymi prywatnymi danymi, które mogą prowadzić do innych rodzajów ekspozycji (powiedzmy, że używam tego samego hasła do mojego konta e-mail - jeśli te informacje wyciekną, wtedy cała wiadomość e-mail dane są ujawniane, w tym dane CC, wszelkie informacje o dostępie, które mam dla innych usług online i Bóg wie, co jeszcze ...)

Potrzebujemy bezpiecznej i godnej zaufania sieci, a kilkadziesiąt dolarów to niewielka cena za bezpieczeństwo użytkowników. (nawet tak prosty jak SSL)

Obawy dotyczące bezpieczeństwa

O ile rozumiem, jedyna luka występuje, gdy użytkownik loguje się lub rejestruje z niezaszyfrowanej sieci (np. Kawiarni) i ktoś nasłuchuje w sieci.

To nie jest prawda, dane przesyłane między użytkownikiem a witryną nigdy nie są bezpieczne. Na przykład http://www.pcmag.com/article2/0,2817,2406837,00.asp szczegółowo opisuje historię wirusa, który zmienił ustawienia DNS ludzi. Bez względu na to, jak dobrze twoja obecna sieć jest chroniona, każde przesyłanie w Internecie przechodzi przez wiele różnych serwerów, zanim dotrze do twojego. Każdy z nich może być złośliwy.

Certyfikaty SSL umożliwiają szyfrowanie danych w sposób jednokierunkowy, który można odszyfrować tylko na serwerze. Więc bez względu na to, gdzie przeskakują dane w drodze do twojego serwera, nikt inny nie może odczytać danych.

W większości przypadków, a to zależy od twojego hostingu, instalacja certyfikatu jest raczej bezbolesna. Większość dostawców zainstaluje go dla Ciebie.

Typy certyfikatów SSL

Jak wspomniano w niektórych odpowiedziach, możesz tworzyć własne certyfikaty SSL. Certyfikat SSL to tylko połączenie klucza publicznego i prywatnego. Twój serwer rozdaje klucz publiczny, klient używa go do szyfrowania wysyłanych danych, a tylko klucz prywatny na serwerze może go odszyfrować. OpenSSL to dobre narzędzie do tworzenia własnych.

Podpisane certyfikaty SSL

Zakup certyfikatu od urzędu certyfikacji dodaje kolejny poziom bezpieczeństwa i zaufania. Ponownie możliwe jest, że ktoś może siedzieć między przeglądarką klienta a serwerem WWW. Musieliby po prostu dać klientowi swój własny klucz publiczny, odszyfrować informacje za pomocą klucza prywatnego, ponownie zaszyfrować je za pomocą klucza publicznego i przekazać je tobie, a ani użytkownik, ani ty.

Gdy użytkownik otrzyma podpisany certyfikat, jego przeglądarka połączy się z dostawcą uwierzytelnienia (Verisign itp.), Aby sprawdzić, czy otrzymany klucz publiczny jest w rzeczywistości kluczem do witryny i czy nie doszło do jego naruszenia.

Tak, tak, powinieneś mieć podpisany certyfikat SSL dla swojej witryny. Sprawia, że ​​wyglądasz bardziej profesjonalnie, daje użytkownikom więcej spokoju podczas korzystania z witryny, a co najważniejsze chroni Cię przed kradzieżą danych.

Więcej informacji na temat ataku Man In The Middle, który stanowi sedno problemu. http://en.wikipedia.org/wiki/Man-in-the-middle_attack

Hasła należy traktować jako dane osobowe - szczerze mówiąc, ponowne użycie hasła, jest prawdopodobnie bardziej wrażliwe niż SSN.

Biorąc to pod uwagę i twój opis, zastanawiam się, dlaczego w ogóle przechowujesz hasło ...

Użyłbym OpenID i jeśli czujesz potrzebę posiadania własnego loginu, stwórz do tego jedną subdomenę i użyj OpenID gdziekolwiek indziej.

Jeśli nie zrobisz OpenID, możesz nadal używać tego samego loginu. Wzorzec domeny, aby nie potrzebować certyfikatu wieloznacznego, ale jak powiedziałem, w dzisiejszych czasach hasła na świecie są co najmniej tak wrażliwe jak SSN / urodziny, nie odbieraj go jeśli nie musisz.

RapidSSL za pośrednictwem Trustico kosztuje tylko 30 USD lub możesz otrzymać dziką kartę RapidSSL za mniej niż 160 USD - mają również gwarancję ceny, więc jeśli okaże się, że jest tańszy, to pasują.

Jeśli masz unikalny adres IP, równie dobrze możesz uzyskać certyfikat, szczególnie jeśli masz do czynienia z danymi, które są nawet wrażliwe na odległość. Ponieważ możesz uzyskać bezpłatne zaufane certyfikaty z StartSSL , naprawdę nie ma powodu, aby go nie mieć.

Mądrze byłoby go kupić. Jak wspomniano, dotyczy to ALL about end user trustTwojej witryny.

so I'm hesitant to drop a couple of hundreds on a certificate - cóż, to nie jest drogie i możesz dostać jeden poniżej 50 USD.

SSL - jest bardzo ważny, aby zabezpieczyć witrynę i zwiększyć poziom pewności użytkowników w witrynie. Jeśli chodzi o proces logowania, dlaczego NIE używać OAuth ? Dzięki tej funkcji użytkownik nie musi tracić czasu na rejestrację witryny. Ruch użytkowników witryny naprawdę z tego skorzysta. Poważnie !, znajdź trochę czasu na jej zbadanie .

Dobre odniesienie do typowych pytań SSL - Wszystko o certyfikatach SSL

Pomyślałbym również o użyciu zewnętrznego dostawcy do logowania (np. Openid). Większość CMS już go obsługuje.

SSL ma wady. Spowalnia twoją stronę. Naprawdę.

Jedynym powodem, dla którego ludzie korzystają z certyfikatów SSL, są pieniądze klientów.

Jeśli nie angażujesz pieniędzy klientów, decyzja o przyjęciu certyfikatu SSL ma charakter wyłącznie biznesowy.

Jeśli masz backend dla swoich klientów, bez pieniędzy w witrynie, ale muszą oni upewnić się, że są bezpieczni, to weź certyfikat. To inwestycja dla zaufania klientów.

Upuszczenie pieniędzy na wieloznacznym certyfikacie SSL może być najlepszą opcją lub nie. Spójrz na serwer internetowy Caddy: https://caddyserver.com/ . Ma wiele ciekawych funkcji, w szczególności wbudowaną obsługę pobierania bezpłatnych certyfikatów z Let's Encrypt. Możesz po prostu określić wszystkie swoje domeny w pliku konfiguracyjnym, a on pobierze dla nich certyfikaty. Inną naprawdę fajną funkcją jest TLS na żądanie. Jeśli ją włączysz, ilekroć otrzyma ona prośbę o nową domenę, dla której nie ma certyfikatu, pobiera ją podczas początkowego uzgadniania TLS. Oznacza to, że możesz mieć dosłownie tysiące domen i nie musisz konfigurować każdej z nich w konfiguracji Caddy.

Uwaga: Choć może się to wydawać moim entuzjazmem, nie jestem uwikłany w Caddy w jakikolwiek sposób, kształt lub formę, poza tym, że jestem zapalonym użytkownikiem ich produktu.

Chodzi o użytkowników, którzy nie zapewniają żadnego bezpieczeństwa, certyfikaty to tylko produkty do sprzedaży.

Możesz rzucić na to okiem

http://en.wikipedia.org/wiki/Comparison_of_SSL_certificates_for_web_servers