Quanto è importante un certificato SSL per un sito web?

14

Sto eseguendo il bootstrap del mio progetto, ha un'area di registrazione / login (via idea con RoR, correttamente hash e salted ovviamente). Poiché sto usando i sottodomini e ho bisogno di accedervi con iframe (è giustificato, davvero!) Avrei bisogno di uno di quei costosi certificati che coprono i sottodomini.

Dato che lo sto facendo con il mio tempo e i miei soldi, quindi sono riluttante a rilasciare un paio di centinaia su un certificato, oltre a un paio di ore scavando in qualcosa che non ho mai provato prima. Non sto memorizzando informazioni sensibili oltre all'indirizzo e-mail e alla password. Per quanto ne so, l'unica vulnerabilità si verifica quando un utente registra o effettua l'iscrizione da una rete non criptata (come una caffetteria) e qualcuno sta ascoltando la rete.

Sono a buon mercato? È qualcosa che dovrei affrontare prima di rilasciarlo in natura. Probabilmente dovrei menzionare che ho 25.000 utenti registrati per ricevere una notifica quando lancio, quindi sono preoccupato per questo.

    
posta Duopixel 18.07.2012 - 10:28
fonte

12 risposte

4

Da quando è stata fatta questa domanda, molto è cambiato. Il tuo sito ha bisogno di HTTPS? SI!

  1. I certificati con convalida del dominio sono gratuiti da molti fornitori, ad es. Let's Encrypt. Questi certificati sono buoni come quelli per cui paghi. Grazie all'identificazione del nome del server, non è necessario possedere un indirizzo IP.

  2. I browser sono sempre più contrassegnando le pagine non HTTPS come non sicure , piuttosto che neutro. Avere il tuo sito contrassegnato come non sicuro non sembra buono.

  3. Le moderne tecnologie web richiedono la crittografia. Che si tratti della politica di Chrome di abilitare solo nuove funzionalità per i siti HTTPS, classifica preferita di Google per i siti HTTPS , o HTTP / 2 crittografato essendo più veloce di testo in chiaro HTTP / 1.1 , stai lasciando le opportunità sul tavolo. Sì, la crittografia aggiunge carico ai tuoi server, ma questo è impercettibile per la maggior parte dei siti e in particolare per gli utenti.

  4. La privacy è più importante che mai. Che si tratti di fornitori di servizi Internet che vendono servizi clickstream o servizi segreti che passano al setaccio tutte le connessioni, non vi è alcun motivo valido per lasciare una comunicazione pubblicamente visibile. Utilizza HTTPS per impostazione predefinita e utilizza HTTP solo se sei certo che qualsiasi informazione trasmessa possa essere pubblica e potenzialmente manomessa.

    Nota che le password non devono essere trasmesse su connessioni in chiaro.

    In alcune normative come EU-GDPR, è necessario implementare misure di sicurezza all'avanguardia, che generalmente includono HTTPS per i siti Web.

Ci sono un paio di non soluzioni:

  • "Usa OAuth anziché le password" manca il punto che ci siano ancora token simili a password. Per lo meno, i tuoi utenti avranno un cookie di sessione che deve essere protetto, in quanto serve come password temporanea.

  • I certificati autofirmati vengono rifiutati dai browser. È possibile aggiungere un'eccezione, ma la maggior parte degli utenti non sarà in grado di farlo. Nota che presentare un certificato autofirmato è indistinguibile per l'utente da un attacco MITM usando un certificato non valido.

Quindi: i certificati sono gratuiti e HTTPS può rendere più veloce il tuo sito. Non ci sono più scuse valide. Passaggi successivi: leggi questa guida sulla migrazione a HTTPS .

    
risposta data 17.04.2018 - 00:03
fonte
23

Ne comprerei uno. Il costo del certificato non è così elevato considerato il livello di fiducia che fornisce agli utenti. Pensalo come un investimento. Se le tue applicazioni non sembrano essere sicure (e i certificati SSL debitamente firmati danno per scontato che un sito web sia sicuro) le persone potrebbero perdere interesse nell'utilizzo dei tuoi futuri prodotti.

    
risposta data 18.07.2012 - 10:47
fonte
5

Se stai "solo" raccogliendo e-mail e password, forse vorresti provare a creare il tuo certificato OpenSSL (http://www.openssl.org/) prima di impegnare i fondi.

Ma ...

Questo è solo qualcosa che puoi fare per "provare le cose" perché gli utenti del sito web otterranno un conflitto poiché questo non sarà un certificato riconosciuto / accettato.

Il mio consiglio è di investire in SSL, semplicemente perché le e-mail e le password sono dati privati molto sensibili che possono portare ad altri tipi di esposizioni (diciamo che uso lo stesso pass per il mio account di posta elettronica - se questa informazione trapelasse, allora tutto i dati della posta elettronica sono esposti, compresi i dati CC, qualsiasi e tutte le informazioni di accesso che ho per altri servizi online e chissà che altro ...)

Abbiamo bisogno di un WEB sicuro e degno di fiducia e poche decine di dollari sono un piccolo prezzo da pagare per la sicurezza degli utenti. (anche come base come SSL)

    
risposta data 18.07.2012 - 13:47
fonte
5

Preoccupazioni per la sicurezza

As far as I understand, the only vulnerability happens when a user logs or signs up from an unencrypted network (such as a coffee shop) and someone is listening the network.

Questo non è vero, i dati trasmessi tra l'utente e il tuo sito Web non sono mai sicuri. Ad esempio, link descrive in dettaglio la storia di un virus che ha modificato le impostazioni DNS delle persone. Non importa quanto sia valida la tua rete attuale, qualsiasi invio su Internet passa attraverso diversi server prima che arrivi al tuo. Ognuno di essi può essere dannoso.

I certificati SSL ti consentono di crittografare i tuoi dati in una crittografia unidirezionale che può essere decodificata solo sul tuo server. Quindi, indipendentemente da dove i dati saltino verso il tuo server, nessun altro può leggere i dati.

Nella maggior parte dei casi, e questo dipende dal tuo hosting, l'installazione di un certificato è piuttosto indolore. La maggior parte dei provider lo installerà per te.

Tipi di certificati SSL

Come indicato in alcune risposte, è possibile creare i propri certificati SSL. Un certificato SSL è solo un accoppiamento di chiavi pubbliche e private. Il server fornisce la chiave pubblica, il client la utilizza per crittografare i dati che sta inviando e solo la chiave privata sul server può decrittografarla. OpenSSL è un ottimo strumento per crearne uno tuo.

Certificati SSL firmati

L'acquisto di un certificato da un'autorità di certificazione aggiunge un altro livello di sicurezza e affidabilità. Di nuovo, è possibile che qualcuno si possa sedere tra il browser client e il server web. Avrebbero semplicemente bisogno di dare al cliente la propria chiave pubblica, decrittografare le informazioni con la loro chiave privata, ricodificarla con la tua chiave pubblica e trasmetterla a te e né all'utente né tu lo sapresti.

Quando un certificato firmato viene ricevuto dall'utente, il browser si connetterà al provider di autenticazione (Verisign, ecc.) per convalidare che la chiave pubblica ricevuta è in realtà quella per il tuo sito web e che non c'è stata alcuna manomissione .

Quindi, sì, dovresti avere un certificato SSL firmato per il tuo sito. Ti fa sembrare più professionale, dà ai tuoi utenti più confidenza nell'usare il tuo sito e, soprattutto, ti protegge dal furto di dati.

Maggiori informazioni sull'attacco Man In The Middle che è il fulcro del problema qui. link

    
risposta data 18.07.2012 - 16:41
fonte
2

Le passworr dovrebbero essere trattate come informazioni personali - se si utilizza francamente il riutilizzo della password, è probabilmente più sensibile di un SSN.

Dato questo e la tua descrizione, mi chiedo perché stai memorizzando una password ...

Vorrei usare OpenID e se senti la necessità di avere il tuo login, crea un singolo sottodominio per questo, e usa OpenID sempre altrove.

Se non lo fai OpenID, puoi comunque utilizzare lo stesso modello login.yourdomain per non aver bisogno di un certificato con caratteri jolly, ma come ho detto, nelle password del mondo di oggi sono least come sensibili come SSN / compleanno, non raccoglierlo se non è necessario.

    
risposta data 18.07.2012 - 17:35
fonte
1

RapidSSL attraverso Trustico è solo $ 30 o puoi ottenere un jolly RapidSSL per meno di $ 160 - hanno anche una garanzia di prezzo, quindi se lo trovi più economico lo abbineranno.

    
risposta data 19.07.2012 - 02:12
fonte
1

Se si dispone di un IP univoco, si potrebbe anche ottenere un certificato, in particolare se si tratta di dati che sono anche lontanamente sensibili. Poiché puoi ottenere certificati attendibili gratuiti da StartSSL , non c'è davvero alcun motivo per non averne uno.

    
risposta data 19.07.2012 - 05:08
fonte
1

Sarebbe saggio acquistarne uno Come accennato, è ALL about end user trust sul tuo sito web.

so I'm hesitant to drop a couple of hundreds on a certificate - beh non è costoso e potresti averne uno sotto i $ 50.

SSL: è davvero importante proteggere il tuo sito e aggiungere un livello di sicurezza ai visitatori del tuo sito. Per quanto riguarda la procedura di accesso, perché NON utilizzare OAuth ? Questa funzione salterà il fastidio dell'utente a dedicare del tempo alla registrazione per il tuo sito web. Il traffico degli utenti del sito Web ne trarrà vantaggio. Seriamente !, trova un po 'di tempo per cercarlo .

Un buon riferimento alle domande comuni SSL - Tutto sui certificati SSL

    
risposta data 18.07.2012 - 11:53
fonte
0

Vorrei anche pensare di utilizzare un provider di terze parti per l'accesso (ad esempio openid). La maggior parte dei CMS lo supporta già.

    
risposta data 18.07.2012 - 15:57
fonte
-1

Un SSL ha degli svantaggi. Rallenta il tuo sito web. Davvero.

L'unico motivo per cui le persone utilizzano i certificati SSL è quando sono coinvolti i soldi dei clienti.

Se non stai coinvolgendo i soldi dei tuoi clienti, la decisione di prendere un certificato SSL è puramente orientata al business.

Se hai un back-end per i tuoi clienti, senza soldi coinvolti nel sito web, ma devono essere sicuri che siano sicuri, allora assicurati di prendere un certificato. È un investimento per la fiducia dei tuoi clienti.

    
risposta data 18.07.2012 - 14:52
fonte
-1

Lasciare qualche soldo su un certificato SSL wildcard può essere l'opzione migliore, oppure no. Dai un'occhiata al web server Caddy: link . Ha molte funzioni interessanti, in particolare supporto per l'acquisizione di certificati gratuiti da Let's Encrypt. Puoi semplicemente specificare tutti i tuoi domini nel suo file di configurazione e prenderà i certificati per loro. L'altra caratteristica davvero interessante è TLS On-Demand. Se lo abiliti, ogni volta che riceve una richiesta per un nuovo dominio per cui non ha un certificato, ne prende uno durante l'iniziale handshake TLS. Ciò significa che puoi avere letteralmente migliaia di domini e non devi configurare ogni singolo nella configurazione di Caddy.

Nota: Per quanto il mio entusiasmo possa sembrare così, non sono afflitto da Caddy in alcun modo, forma o forma, se non quello di essere un utente avido del loro prodotto.

    
risposta data 11.04.2018 - 20:59
fonte
-4

Riguarda gli utenti, non forniscono alcun tipo di sicurezza, i certificati sono solo prodotti da vendere.

Potresti dare un'occhiata a questo

link

    
risposta data 18.07.2012 - 12:26
fonte

Leggi altre domande sui tag