Quanto è importante un certificato SSL dedicato o condiviso per l'eCommerce?

Naviga le tue risposte
1

Nel mio lavoro, utilizziamo Network Solution eCommerce da molti anni e hanno funzionato molto bene con noi. Tuttavia, con il passare degli anni, i loro servizi diventano sempre più obsoleti. Come sviluppatore web nel 2014, lavorare con un layout strettamente basato su tabelle è frustrante. Il costante bisogno di JavaScript per modificare il layout e l'utilizzo di più hack CSS mi ha spinto a cercare una nuova soluzione. Nemmeno al mio capo dispiacerebbe allontanarsi dalla piattaforma.

Ho osservato Shopify da un po 'di tempo. È un sogno di designer in termini di eCommerce, essere in grado di progettarlo da zero usando HTML 5, CSS appropriato ed eliminando la necessità di tutti gli hack JavaScript e CSS. Tuttavia, usano un certificato SSL condiviso invece di un SSL dedicato. Sul nostro attuale sito con soluzioni di rete, quando un utente va al nostro checkout, va al link . Con Shopify, vanno al link .

Questo non piace al mio capo. Ritiene che, in quanto azienda di medie dimensioni e rispettabile, se un cliente ha notato tale modifica nell'URL, potrebbe a) dissuaderli dal continuare, oppure b) farci sembrare più piccoli / meno affidabili di avere il nostro SSL. Capisco il suo punto, ma non sono sicuro che a molti utenti interesserà. Usa già Shopify per una delle sue attività collaterali, quindi conosce la piattaforma e lo adora, ma non è sicuro che il problema SSL sia adatto alla nostra attività.

Credo che sto cercando alcune opinioni di altre persone su questo tema. A volte riesco a convincerli a fare cambiamenti anche se non gli piace, quindi mi piacerebbe avere alcune opinioni e informazioni da altre persone per supportarmi un po '. Abbiamo molti più pros per fare il passaggio che contro, con il solo fatto di essere SSL.

    
posta Devin 19.06.2014 - 21:07
fonte

1 risposta

4

Il "certificato SSL condiviso" traduce effettivamente in una forma visibile una proprietà strutturale sottostante, cioè che Shopify è una piattaforma eCommerce condivisa . Quando usi Shopify, il tuo negozio è in esecuzione sui loro sistemi. Se questo ti fa sembrare un affare economico, allora, immagino che sei un business a buon mercato, dopotutto. Il certificato SSL condiviso è solo un punto tecnico in cui la tua convenienza è resa evidente.

Tecnicamente , avere il tuo nome per la connessione SSL può essere in contrasto con alcuni vincoli da parte di Shopify. È dovuto a quanto segue:

  • In HTTPS, SSL si verifica per primo; la richiesta HTTP (che include il nome del server di destinazione, come visualizzato dal client) verrà inviata solo quando l'handshake è completato.
  • Durante l'handshake, il server mostra il suo certificato al client.
  • Il client si aspetta che il nome del server previsto (come appare nell'URL) faccia parte delle identità contenute nel certificato del server.

Quindi un server che ospita diversi (molti) siti con nomi distinti sullo stesso indirizzo IP deve in qualche modo indovinare il nome del server previsto, in modo da utilizzare il certificato giusto. Tale ipotesi può utilizzare l'estensione Nome del server , se il client lo invia - ma IE su Windows XP non invia alcun SNI. La conseguenza è che se Shopify volesse supportare i nomi dei server specifici del negozio per SSL, allora avrebbero dovuto fare una delle due cose seguenti:

  • Assegna un nuovo indirizzo IP per ogni negozio (data l'attuale carenza relativa di indirizzi IP, questo può diventare costoso).
  • Forti clienti XP + IE (una decisione commerciale non banale)

In ogni caso, Shopify è Dio: hanno il pieno controllo del tuo negozio online. Il certificato SSL condiviso corrisponde a questo fatto; non aggiunge alcun ulteriore problema di sicurezza.

(Detto altrimenti, ottieni quello per cui paghi. Se vuoi il tuo SSL con il tuo nome, allora devi possedere il tuo indirizzo IP, preferibilmente il tuo server .)

Personalmente, come occasionale cliente online, mi sento piuttosto più sicuro quando vedo che il sistema di pagamento è gestito da una banca o da una piattaforma specializzata come Shopify. Questo perché so che il 99,99% di frodi e altri eventi avversi simili non si verificano durante il transito del numero di carta di credito su SSL, ma in seguito, sul lato server. Lo preferisco davvero quando i professionisti sono al comando. Gli aggressori non si preoccupano di provare a far girare un server SSL fasullo per catturare una dozzina di numeri di carte di credito; preferiscono hackerare su server amatoriali per rimpiazzare migliaia di numeri di carta di credito dove sono stati (male) archiviati.

Tuttavia, sono conosciuto per non pensare come un cliente medio. Questo è il destino di essere un professionista della sicurezza delle informazioni, credo.

    
risposta data 19.06.2014 - 21:59
fonte

Leggi altre domande sui tag

Isolare due dischi rigidi con due sistemi operativi Anonimato di Bitcoin