Devo usare un SSL nei miei domini di prova?

28

Uso un SSL nel mio dominio principale, cioè quello a cui accedono i miei clienti.

Tuttavia, ho un secondo dominio con lo stesso contenuto (incluse le credenziali di accesso) che uso solo per test e sviluppo.

Dovrei proteggere anche questo dominio di prova?

    
posta carla 13.03.2017 - 14:55
fonte

6 risposte

66

Sì, dovresti. Potrebbe essere necessario testare se ad es. una richiesta particolare funziona su HTTPS, ma il test su un sistema di produzione è un'idea cattiva (il sistema di produzione dovrebbe rimanere stabile) e il sistema di test dovrebbe corrispondere il più possibile al sistema di produzione. In secondo luogo, se stai condividendo i dettagli di accesso tra domini, perché non dovrebbe essere protetto anche il dominio di prova?

Se il prezzo del certificato è un problema, ciò che puoi fare è:

  • Ottieni un certificato gratuito da Let's Encrypt .
  • Utilizza un certificato autofirmato.
  • Configura la tua autorità di certificazione interna per il dominio di prova (probabilmente l'opzione migliore).
risposta data 13.03.2017 - 15:05
fonte
12

I have a second domain with the same content (including login credentials) that I use only for test and development.

Se il secondo dominio fornisce lo stesso contenuto e ha le stesse credenziali di accesso ed è accessibile anche da Internet, non c'è motivo per cui non dovrebbe ottenere la stessa protezione (cioè SSL) come primo dominio.

    
risposta data 13.03.2017 - 15:00
fonte
4

Non solo dovresti utilizzare SSL per i tuoi domini di test, ma hai bisogno di se vuoi abilitare le funzionalità di sicurezza come HSTS Preloading .

    
risposta data 13.03.2017 - 17:57
fonte
3

Dovresti. Questa è la risposta breve.

Nella risposta più lunga, Sareste sorpresi di sapere quante volte le vulnerabilità di sicurezza si verificano dagli utenti interni di un'organizzazione. Ad esempio, se il tuo ambiente di prova ha credenziali di amministratore, un livello di trasporto non protetto significa che qualcuno della tua organizzazione (che non è un amministratore autorizzato) può potenzialmente annusare e ottenere le credenziali di amministratore, che tu non vuoi.

Se il costo del certificato è un problema, puoi sempre avere un certificato autofirmato emesso. Ma dovresti assicurarti che questa autorità di firma (chi sta generando questo certificato interno per te) sia installata come CA attendibile sui desktop di test. Altrimenti il tuo browser potrebbe generare un errore che questo certificato è firmato da qualcuno non fidato. Se esegui "certmgr.msc" in Windows, puoi visualizzare le CA di fiducia per qualsiasi computer specifico.

    
risposta data 15.03.2017 - 08:03
fonte
2

Sì ... il test è valido solo se simula l'ambiente di produzione, compreso il modo in cui viene eseguito su https. I cerattivi con caratteri jolly sono abbastanza economici, quindi inserisci il dominio di prova in un sottodominio. Probabilmente il dominio del test non dovrebbe essere pubblico, a meno che il client non abbia bisogno di accedervi da IP casuali, altrimenti bloccarlo nel proprio intervallo IP nel virtualhost o nel firewall. Inoltre è un buon modo per assicurarsi che tutti i contenuti del tuo sito web siano disponibili su https.

    
risposta data 15.03.2017 - 05:04
fonte
1

Ne hai sicuramente bisogno a scopo di test. Abbiamo avuto situazioni in cui il comportamento del nostro sistema era diverso su SSL da una connessione non sicura.

Per motivi di sicurezza non è necessario, dal momento che è possibile spostare gli ambienti di test dietro VPN.

    
risposta data 14.03.2017 - 12:16
fonte

Leggi altre domande sui tag