Preoccupazioni per la sicurezza
As far as I understand, the only vulnerability happens when a user
logs or signs up from an unencrypted network (such as a coffee shop)
and someone is listening the network.
Questo non è vero, i dati trasmessi tra l'utente e il tuo sito Web non sono mai sicuri. Ad esempio, link descrive in dettaglio la storia di un virus che ha modificato le impostazioni DNS delle persone. Non importa quanto sia valida la tua rete attuale, qualsiasi invio su Internet passa attraverso diversi server prima che arrivi al tuo. Ognuno di essi può essere dannoso.
I certificati SSL ti consentono di crittografare i tuoi dati in una crittografia unidirezionale che può essere decodificata solo sul tuo server. Quindi, indipendentemente da dove i dati saltino verso il tuo server, nessun altro può leggere i dati.
Nella maggior parte dei casi, e questo dipende dal tuo hosting, l'installazione di un certificato è piuttosto indolore. La maggior parte dei provider lo installerà per te.
Tipi di certificati SSL
Come indicato in alcune risposte, è possibile creare i propri certificati SSL. Un certificato SSL è solo un accoppiamento di chiavi pubbliche e private. Il server fornisce la chiave pubblica, il client la utilizza per crittografare i dati che sta inviando e solo la chiave privata sul server può decrittografarla. OpenSSL è un ottimo strumento per crearne uno tuo.
Certificati SSL firmati
L'acquisto di un certificato da un'autorità di certificazione aggiunge un altro livello di sicurezza e affidabilità. Di nuovo, è possibile che qualcuno si possa sedere tra il browser client e il server web. Avrebbero semplicemente bisogno di dare al cliente la propria chiave pubblica, decrittografare le informazioni con la loro chiave privata, ricodificarla con la tua chiave pubblica e trasmetterla a te e né all'utente né tu lo sapresti.
Quando un certificato firmato viene ricevuto dall'utente, il browser si connetterà al provider di autenticazione (Verisign, ecc.) per convalidare che la chiave pubblica ricevuta è in realtà quella per il tuo sito web e che non c'è stata alcuna manomissione .
Quindi, sì, dovresti avere un certificato SSL firmato per il tuo sito. Ti fa sembrare più professionale, dà ai tuoi utenti più confidenza nell'usare il tuo sito e, soprattutto, ti protegge dal furto di dati.
Maggiori informazioni sull'attacco Man In The Middle che è il fulcro del problema qui.
link