Jak ważny jest certyfikat SSL dla strony internetowej?

14

Ja ładuję swój własny projekt, ma on obszar rejestracji / logowania (poprzez opracowanie z RoR, odpowiednio zaszyfrowany i zasolony oczywiście). Ponieważ korzystam z subdomen i muszę uzyskać do nich dostęp za pomocą ramek iframe (jest to naprawdę uzasadnione!) Potrzebuję jednego z tych drogich certyfikatów obejmujących subdomeny.

Ponieważ robię to z własnego czasu i pieniędzy, waham się nad umieszczeniem kilku setek na certyfikacie, plus kilku godzin zagłębiania się w coś, czego wcześniej nie próbowałem. Nie przechowuję żadnych poufnych informacji poza adresem e-mail i hasłem. O ile rozumiem, jedyna luka występuje, gdy użytkownik loguje się lub rejestruje z niezaszyfrowanej sieci (np. Kawiarni) i ktoś nasłuchuje w sieci.

Czy jestem tani? Czy powinienem się tym zająć przed wypuszczeniem na wolność. Prawdopodobnie powinienem wspomnieć, że mam 25 000 użytkowników zarejestrowanych, aby otrzymywać powiadomienia po uruchomieniu, więc denerwuję się z tego powodu.

methodofaction
źródło
1
Ponieważ potrzebuje certyfikatu z symbolem wieloznacznym do pokrycia swoich subdomen.
pritaeas
1
Ale czy poddomeny są naprawdę potrzebne? Czy można umieścić przed nimi wszystkie (bezpieczne) proxy, aby wyglądały jak jedna strona?
Donal Fellows
3
Jeśli na uruchomienie czeka 25 000 użytkowników, wydanie kilkuset dolarów nie powinno stanowić problemu.
marco-fiset
2
Pomimo wielu odpowiedzi i komentarzy podpisany certyfikat SSL jest niezbędny do zabezpieczenia danych w Twojej witrynie. Wszystko, co użytkownik zobaczy lub prześle, może być szpiegowane, jeśli go nie masz, bez względu na to, skąd się łączy.
Chris
2
@RyanKinal Uhh ... te faktycznie działają i sprawdzają poprawność w standardowych przeglądarkach? Pomyślałem, że każdy urząd certyfikacji, który oferowałby certyfikaty za darmo, miałby na czarnej liście klucz do podpisu
TheLQ

Odpowiedzi:

5

Od czasu, gdy pytanie zostało zadane, wiele się zmieniło. Czy Twoja strona wymaga HTTPS? TAK!

  1. Certyfikaty z weryfikacją domeny są bezpłatne od wielu dostawców, np. Let's Encrypt. Te certyfikaty są tak samo dobre, jak te, za które płacisz pieniądze. Dzięki identyfikacji nazwy serwera nie jest konieczne posiadanie adresu IP.

  2. Przeglądarki coraz częściej zaznaczają strony inne niż HTTPS jako niepewne , a nie neutralne. Oznaczenie witryny jako niezabezpieczonej nie wygląda dobrze.

  3. Nowoczesne technologie internetowe wymagają szyfrowania. Niezależnie od tego, czy jest to zasada Chrome polegająca na włączaniu tylko nowych funkcji dla witryn HTTPS, preferowany przez Google ranking witryn HTTPS , czy szyfrowanie HTTP / 2 jest szybsze niż zwykły tekst HTTP / 1.1 , pozostawiasz możliwości na stole. Tak, szyfrowanie powoduje obciążenie serwerów, ale jest to niezauważalne w przypadku większości witryn - a szczególnie niezauważalne dla użytkowników.

  4. Prywatność jest ważniejsza niż kiedykolwiek. Niezależnie od tego, czy są to dostawcy usług internetowych sprzedający Twój strumień kliknięć, czy tajne usługi przeszukujące wszystkie Twoje połączenia, nie ma żadnego powodu, aby pozostawić publicznie widoczną komunikację. Domyślnie używaj HTTPS i używaj HTTP tylko wtedy, gdy masz pewność, że wszelkie przesyłane informacje mogą być publicznie bezpieczne i mogą zostać naruszone.

    Pamiętaj, że hasła nie mogą być przesyłane przez połączenia w postaci zwykłego tekstu.

    Zgodnie z niektórymi przepisami, takimi jak RODO UE, musisz wprowadzić najnowocześniejsze środki bezpieczeństwa, które ogólnie obejmują HTTPS dla stron internetowych.

Istnieje kilka nierozwiązań:

  • „Użyj OAuth zamiast haseł” pomija punkt, w którym nadal występują tokeny podobne do haseł. Przynajmniej twoi użytkownicy będą mieli sesyjny plik cookie, który musi być chroniony, ponieważ służy jako tymczasowe hasło.

  • Certyfikaty z podpisem własnym są odrzucane przez przeglądarki. Można dodać wyjątek, ale większość użytkowników nie będzie w stanie tego zrobić. Pamiętaj, że przedstawienie samopodpisanego certyfikatu jest nie do odróżnienia od ataku MITM przy użyciu nieprawidłowego certyfikatu.

Więc: Certyfikaty są bezpłatne, a HTTPS może przyspieszyć twoją witrynę. Nie ma już żadnej uzasadnionej wymówki. Następne kroki: przeczytaj ten przewodnik na temat migracji do HTTPS .

amon
źródło
Zgadzam się, że obecnie trendem jest https twojej witryny, nawet jeśli nie zajmujesz się rejestracją użytkowników i tym podobne, ze względu na wspomniane korzyści. Wybieram to jako poprawną odpowiedź.
methodofaction
1
Jako dodatek: HTTPS zapewnia nie tylko prywatność, ale także integralność. Ze względu na szyfrowanie możesz również mieć pewność, że dane, które użytkownik otrzymał, to te, które zostały wysłane i nie zostały zmodyfikowane przez kogoś w drodze
John
24

Kupiłbym jeden. Koszt certyfikatu nie jest tak duży, biorąc pod uwagę poziom zaufania, jaki zapewnia on użytkownikom. Pomyśl o tym jak o inwestycji. Jeśli twoje aplikacje nie wydają się bezpieczne (a poprawnie podpisane certyfikaty SSL zakładają, że witryna jest bezpieczna) ludzie mogą stracić zainteresowanie korzystaniem z twoich przyszłych produktów.

Andrzej Bobak
źródło
1
ogólnie rzecz biorąc, SSL to „dobre samopoczucie” dla osób niezwiązanych z technologią
Jakub
a z drugiej strony: żaden protokół SSL nie jest dla typowego użytkownika „bardzo zły i podejrzliwy”
Andrzej Bobak,
Tylko podpisane certyfikaty mogą zapewnić zaufanie. Nadal istnieje możliwość kradzieży danych bez podpisanego certyfikatu. Ataki typu mężczyzna w środku nadal działają, dostarczając klientowi fałszywy certyfikat.
Chris
Dzięki za wskazówki, ogólny konsensus zdaje się wskazywać, że SSL nie jest czymś, na co powinienem przejść. Zainstalowałem darmowy certyfikat z StartSSL i kupię go, gdy uruchomię metodę method.ac
methodofaction
5

Jeśli „zbierasz” tylko e-maile i hasła, możesz spróbować stworzyć własny certyfikat OpenSSL (http://www.openssl.org/) przed przekazaniem jakichkolwiek środków.

Ale...

Jest to po prostu coś, co możesz zrobić, aby „wypróbować”, ponieważ użytkownicy witryny otrzymają ostrą walkę, ponieważ nie będzie to uznany / zaakceptowany certyfikat.

Radzę zainwestować w SSL, po prostu dlatego, że e-mail i hasła są bardzo poufnymi prywatnymi danymi, które mogą prowadzić do innych rodzajów ekspozycji (powiedzmy, że używam tego samego hasła do mojego konta e-mail - jeśli te informacje wyciekną, wtedy cała wiadomość e-mail dane są ujawniane, w tym dane CC, wszelkie informacje o dostępie, które mam dla innych usług online i Bóg wie, co jeszcze ...)

Potrzebujemy bezpiecznej i godnej zaufania sieci, a kilkadziesiąt dolarów to niewielka cena za bezpieczeństwo użytkowników. (nawet tak prosty jak SSL)

Igal Zeifman
źródło
5

Obawy dotyczące bezpieczeństwa

O ile rozumiem, jedyna luka występuje, gdy użytkownik loguje się lub rejestruje z niezaszyfrowanej sieci (np. Kawiarni) i ktoś nasłuchuje w sieci.

To nie jest prawda, dane przesyłane między użytkownikiem a witryną nigdy nie są bezpieczne. Na przykład http://www.pcmag.com/article2/0,2817,2406837,00.asp szczegółowo opisuje historię wirusa, który zmienił ustawienia DNS ludzi. Bez względu na to, jak dobrze twoja obecna sieć jest chroniona, każde przesyłanie w Internecie przechodzi przez wiele różnych serwerów, zanim dotrze do twojego. Każdy z nich może być złośliwy.

Certyfikaty SSL umożliwiają szyfrowanie danych w sposób jednokierunkowy, który można odszyfrować tylko na serwerze. Więc bez względu na to, gdzie przeskakują dane w drodze do twojego serwera, nikt inny nie może odczytać danych.

W większości przypadków, a to zależy od twojego hostingu, instalacja certyfikatu jest raczej bezbolesna. Większość dostawców zainstaluje go dla Ciebie.

Typy certyfikatów SSL

Jak wspomniano w niektórych odpowiedziach, możesz tworzyć własne certyfikaty SSL. Certyfikat SSL to tylko połączenie klucza publicznego i prywatnego. Twój serwer rozdaje klucz publiczny, klient używa go do szyfrowania wysyłanych danych, a tylko klucz prywatny na serwerze może go odszyfrować. OpenSSL to dobre narzędzie do tworzenia własnych.

Podpisane certyfikaty SSL

Zakup certyfikatu od urzędu certyfikacji dodaje kolejny poziom bezpieczeństwa i zaufania. Ponownie możliwe jest, że ktoś może siedzieć między przeglądarką klienta a serwerem WWW. Musieliby po prostu dać klientowi swój własny klucz publiczny, odszyfrować informacje za pomocą klucza prywatnego, ponownie zaszyfrować je za pomocą klucza publicznego i przekazać je tobie, a ani użytkownik, ani ty.

Gdy użytkownik otrzyma podpisany certyfikat, jego przeglądarka połączy się z dostawcą uwierzytelnienia (Verisign itp.), Aby sprawdzić, czy otrzymany klucz publiczny jest w rzeczywistości kluczem do witryny i czy nie doszło do jego naruszenia.

Tak, tak, powinieneś mieć podpisany certyfikat SSL dla swojej witryny. Sprawia, że ​​wyglądasz bardziej profesjonalnie, daje użytkownikom więcej spokoju podczas korzystania z witryny, a co najważniejsze chroni Cię przed kradzieżą danych.

Więcej informacji na temat ataku Man In The Middle, który stanowi sedno problemu. http://en.wikipedia.org/wiki/Man-in-the-middle_attack

Chris
źródło
2

Hasła należy traktować jako dane osobowe - szczerze mówiąc, ponowne użycie hasła, jest prawdopodobnie bardziej wrażliwe niż SSN.

Biorąc to pod uwagę i twój opis, zastanawiam się, dlaczego w ogóle przechowujesz hasło ...

Użyłbym OpenID i jeśli czujesz potrzebę posiadania własnego loginu, stwórz do tego jedną subdomenę i użyj OpenID gdziekolwiek indziej.

Jeśli nie zrobisz OpenID, możesz nadal używać tego samego loginu. Wzorzec domeny, aby nie potrzebować certyfikatu wieloznacznego, ale jak powiedziałem, w dzisiejszych czasach hasła na świecie są co najmniej tak wrażliwe jak SSN / urodziny, nie odbieraj go jeśli nie musisz.

jmoreno
źródło
1

RapidSSL za pośrednictwem Trustico kosztuje tylko 30 USD lub możesz otrzymać dziką kartę RapidSSL za mniej niż 160 USD - mają również gwarancję ceny, więc jeśli okaże się, że jest tańszy, to pasują.

Clint
źródło
1

Jeśli masz unikalny adres IP, równie dobrze możesz uzyskać certyfikat, szczególnie jeśli masz do czynienia z danymi, które są nawet wrażliwe na odległość. Ponieważ możesz uzyskać bezpłatne zaufane certyfikaty z StartSSL , naprawdę nie ma powodu, aby go nie mieć.

tylerl
źródło
1

Mądrze byłoby go kupić. Jak wspomniano, dotyczy to ALL about end user trustTwojej witryny.

so I'm hesitant to drop a couple of hundreds on a certificate - cóż, to nie jest drogie i możesz dostać jeden poniżej 50 USD.

SSL - jest bardzo ważny, aby zabezpieczyć witrynę i zwiększyć poziom pewności użytkowników w witrynie. Jeśli chodzi o proces logowania, dlaczego NIE używać OAuth ? Dzięki tej funkcji użytkownik nie musi tracić czasu na rejestrację witryny. Ruch użytkowników witryny naprawdę z tego skorzysta. Poważnie !, znajdź trochę czasu na jej zbadanie .

Dobre odniesienie do typowych pytań SSL - Wszystko o certyfikatach SSL

Jusubow
źródło
0

Pomyślałbym również o użyciu zewnętrznego dostawcy do logowania (np. Openid). Większość CMS już go obsługuje.

PBrando
źródło
-1

SSL ma wady. Spowalnia twoją stronę. Naprawdę.

Jedynym powodem, dla którego ludzie korzystają z certyfikatów SSL, są pieniądze klientów.

Jeśli nie angażujesz pieniędzy klientów, decyzja o przyjęciu certyfikatu SSL ma charakter wyłącznie biznesowy.

Jeśli masz backend dla swoich klientów, bez pieniędzy w witrynie, ale muszą oni upewnić się, że są bezpieczni, to weź certyfikat. To inwestycja dla zaufania klientów.

Florian Margaine
źródło
3
-1: ZAWSZE należy używać certyfikatu SSL, gdy użytkownicy przesyłają poufne dane, takie jak hasła do rejestracji i logowania. Nie tylko gdy chodzi o pieniądze.
marco-fiset
2
Nie zgadzam się. Z biznesowego punktu widzenia nie jest to oczywiście konieczne. Kup certyfikat SSL tylko, jeśli, jak powiedziano w odpowiedzi, angażujesz pieniądze klientów.
Florian Margaine,
3
@Florian: SE jest zepsutą witryną, jeśli prosi o dane osobowe, ale ich nie szyfruje. Tak ogromna sieć witryn, szczególnie skierowana do programistów, powinna wiedzieć lepiej. Dla mnie jednak, że przekierowanie do mojego dostawcy OpenID, który przy okazji robi używać SSL. Pytanie brzmi, czy warto to naprawić. A w przypadku witryny takiej jak SO, która tak naprawdę nie ma żadnych danych osobowych (oprócz hasła i adresu e-mail), być może zdecydowali, że tak nie jest. Ale to jest decyzja, którą należy podjąć i z którą trzeba się zmierzyć, a nie tylko powiedzieć „brak numerów CC? Następnie wkręcić SSL”.
cHao
1
Zaskoczył mnie również brak protokołu SSL, ale okazuje się, że formularz rejestracji jest w rzeczywistości osadzony w ramce iframe, która wywołuje adres https.
methodofaction
1
@FlorianMargaine - Google udowodniło, że Twoje roszczenia dotyczące protokołu SSL spowalniają Twoją witrynę z winy.
Ramhound,
-1

Upuszczenie pieniędzy na wieloznacznym certyfikacie SSL może być najlepszą opcją lub nie. Spójrz na serwer internetowy Caddy: https://caddyserver.com/ . Ma wiele ciekawych funkcji, w szczególności wbudowaną obsługę pobierania bezpłatnych certyfikatów z Let's Encrypt. Możesz po prostu określić wszystkie swoje domeny w pliku konfiguracyjnym, a on pobierze dla nich certyfikaty. Inną naprawdę fajną funkcją jest TLS na żądanie. Jeśli ją włączysz, ilekroć otrzyma ona prośbę o nową domenę, dla której nie ma certyfikatu, pobiera ją podczas początkowego uzgadniania TLS. Oznacza to, że możesz mieć dosłownie tysiące domen i nie musisz konfigurować każdej z nich w konfiguracji Caddy.

Uwaga: Choć może się to wydawać moim entuzjazmem, nie jestem uwikłany w Caddy w jakikolwiek sposób, kształt lub formę, poza tym, że jestem zapalonym użytkownikiem ich produktu.

Duncan X Simpson
źródło
-4

Chodzi o użytkowników, którzy nie zapewniają żadnego bezpieczeństwa, certyfikaty to tylko produkty do sprzedaży.

Możesz rzucić na to okiem

http://en.wikipedia.org/wiki/Comparison_of_SSL_certificates_for_web_servers

użytkownik827992
źródło
Nie sądzę, że to, co mówisz, jest słuszne. Certyfikat nie zapewnia bezpieczeństwa, ale jest tożsamością, a możliwość identyfikacji obiektów to pierwszy poziom bezpieczeństwa?
Ozair Kafray
zidentyfikować kto? w jaki sposób? jeśli masz firmę o nazwie „Rzeczy”, kupujesz certyfikat i jesteś rozpoznawany jako „Rzeczy”, kropka. jeśli powiesz, że jesteś „Losowy”, zostaniesz rozpoznany jako „Losowy”; myślisz, że ci faceci mają minimalne zainteresowanie byciem policją przez Internet?
user827992,
Nie, ale niedawno kupiliśmy certyfikat dla naszego produktu vcred.com i geotrust potrzebował 3 miesięcy, aby zweryfikować nas jako firmę, którą jest riksof.com. Dotyczy to Pakistanu, w innych krajach zajmuje to mniej czasu, a to dlatego, że nas weryfikują. Myślę, że verisign miałby również rygorystyczny proces weryfikacji. Moim zdaniem nie sprzedają go tylko jako produktu. Można również wygenerować certyfikat sam, a następnie łatwo zidentyfikować brak urzędu certyfikacji
Ozair Kafray
ta firma jest wyjątkiem, zależy to również od tego, jaki rodzaj certyfikatu kupujesz, ale ostatecznie możesz być po prostu inną osobą i nie jest to trudne do osiągnięcia.
user827992,
2
-1 Certyfikaty zapewniają bezpieczeństwo. To jest ich podstawowa funkcja.
Chris