Quanto è importante un certificato SSL per un sito Web?


14

Sto eseguendo il bootstrap del mio progetto, ha un'area di registrazione / accesso (via idea con RoR, correttamente hash e salato ovviamente). Dato che sto usando i sottodomini e ho bisogno di accedervi con iframe (è giustificato, davvero!) Avrei bisogno di uno di quei certificati costosi che coprono i sottodomini.

Mentre lo sto facendo con il mio tempo e denaro, quindi sono riluttante a rilasciare un paio di centinaia su un certificato, oltre a un paio d'ore per approfondire qualcosa che non ho mai provato prima. Non sto memorizzando alcuna informazione sensibile oltre l'indirizzo e-mail e la password. A quanto ho capito, l'unica vulnerabilità si verifica quando un utente accede o si registra da una rete non crittografata (come un bar) e qualcuno sta ascoltando la rete.

Sono a buon mercato? È qualcosa che dovrei affrontare prima di uscire in libertà? Probabilmente dovrei dire che ho 25.000 utenti registrati per essere avvisati quando lancio, quindi sono nervoso per questo.


1
Perché ha bisogno di un certificato jolly per coprire i suoi sottodomini.
pritaeas,

1
Ma i sottodomini sono davvero necessari? È possibile mettere una sorta di proxy (sicuro) davanti a tutti per farlo sembrare un singolo sito?
Donal Fellows, il

3
Se hai 25.000 utenti in attesa del tuo lancio, spendere alcune centinaia di dollari non dovrebbe essere un problema.
marco-fiset,

2
Nonostante molte risposte e commenti, un certificato SSL firmato è una parte essenziale per proteggere i dati sul tuo sito web. Tutto ciò che l'utente vede o invia può essere spiato se non ne hai uno, indipendentemente da dove si connettano.
Chris,

2
@RyanKinal Uhh ... quelli funzionano davvero e convalidano correttamente sui browser standard? Pensavo che qualsiasi CA che offrisse certs gratuitamente avrebbe la sua chiave di firma nella lista nera
TheLQ

Risposte:


5

Nel tempo da quando questa domanda è stata posta, molte cose sono cambiate. Il tuo sito ha bisogno di HTTPS? SÌ!

  1. I certificati con convalida del dominio sono gratuiti da molti provider, ad esempio Let's Encrypt. Questi certificati sono buoni quanto quelli per cui paghi. Grazie all'identificazione del nome del server, non è necessario possedere un indirizzo IP.

  2. I browser contrassegnano sempre più le pagine non HTTPS come non sicure , anziché neutre. Avere il tuo sito contrassegnato come insicuro non sembra buono.

  3. Le moderne tecnologie web richiedono la crittografia. Sia che si tratti della politica di Chrome di abilitare solo nuove funzionalità per i siti HTTPS, del posizionamento preferito di Google per i siti HTTPS o che HTTP / 2 crittografato sia più veloce di HTTP / 1.1 in chiaro , stai lasciando opportunità sul tavolo. Sì, la crittografia aggiunge carico ai tuoi server, ma ciò è impercettibile per la maggior parte dei siti e in particolare è impercettibile per gli utenti.

  4. La privacy è più importante che mai. Che si tratti di ISP che vendono i tuoi clickstream o di servizi segreti che setacciano tutte le tue connessioni, non c'è motivo di lasciare pubblicamente visibili le comunicazioni. Utilizza HTTPS per impostazione predefinita e utilizza HTTP solo se sei sicuro che qualsiasi informazione trasmessa possa essere tranquillamente pubblica e che possa essere manomessa.

    Si noti che le password non devono essere trasmesse tramite connessioni in testo normale.

    In base ad alcune normative come EU-GDPR, è necessario implementare misure di sicurezza all'avanguardia, che generalmente includano HTTPS per i siti Web.

Esistono un paio di non soluzioni:

  • "Usa OAuth invece di password" manca il punto che ci sono ancora token simili a password coinvolti. Per lo meno, i tuoi utenti avranno un cookie di sessione che deve essere protetto, poiché funge da password temporanea.

  • I certificati autofirmati vengono rifiutati dai browser. È possibile aggiungere un'eccezione, ma la maggior parte degli utenti non sarà in grado di farlo. Si noti che la presentazione di un certificato autofirmato non è distinguibile per l'utente da un attacco MITM che utilizza un certificato non valido.

Quindi: i certificati sono gratuiti e HTTPS può rendere il tuo sito più veloce. Non ci sono più scuse valide. Passaggi successivi: leggi questa guida sulla migrazione a HTTPS .


Sono d'accordo che la tendenza al giorno d'oggi è quella di https sul tuo sito, anche se non stai gestendo la registrazione dell'utente e simili, a causa dei vantaggi che menzioni. Sto selezionando questa come risposta corretta.
methodofaction

1
In aggiunta: HTTPS non porta solo privacy, ma anche integrità. A causa della crittografia puoi anche essere sicuro che i dati che l'utente ha effettivamente ricevuto sono quelli che sono stati inviati e non sono stati modificati da qualcuno sulla strada
johannes

24

Ne comprerei uno. Il costo del certificato non è così grande considerato il livello di fiducia che offre agli utenti. Pensalo come un investimento. Se le tue applicazioni non sembrano essere sicure (e i certificati SSL correttamente firmati danno per scontato che un sito Web sia sicuro) le persone potrebbero perdere interesse nell'utilizzo dei tuoi prodotti futuri.


1
nel complesso SSL è un "sentirsi bene" per le persone non tecnologiche
Jakub,

e dall'altro lato: nessun SSL è un "sentirsi molto male e sospettoso" per l'utente tipico
Andrzej Bobak,

Solo i certificati firmati possono fornire fiducia. È ancora possibile rubare i dati senza un certificato firmato. Gli attacchi man in the middle funzionano ancora fornendo un falso certificato al client.
Chris,

Grazie per i suggerimenti, il consenso generale sembra indicare che un SSL non è qualcosa su cui dovrei sfogliare. Ho installato un certificato gratuito da StartSSL e comprerò quello jolly quando avrò effettivamente method.ac
methodofaction il

5

Se stai "solo" raccogliendo e-mail e password, potresti voler provare a creare il tuo certificato OpenSSL (http://www.openssl.org/) prima di impegnare fondi.

Ma...

Questo è solo qualcosa che puoi fare per "provare le cose" perché gli utenti del sito Web avranno una guerra in quanto questo non sarà un certificato riconosciuto / accettato.

Il mio consiglio è di investire in SSL, semplicemente perché e-mail e password sono dati privati ​​molto sensibili che possono portare ad altri tipi di esposizioni (diciamo che uso lo stesso pass per il mio account e-mail - se queste informazioni perdono, allora tutte le e-mail i dati sono esposti, compresi i dati CC, tutte le informazioni di accesso che ho per altri servizi online e dio sa cos'altro ...)

Abbiamo bisogno di un WEB sicuro e affidabile e poche decine di dollari sono un piccolo prezzo da pagare per la sicurezza degli utenti. (anche di base come SSL)


5

Problemi di sicurezza

A quanto ho capito, l'unica vulnerabilità si verifica quando un utente accede o si registra da una rete non crittografata (come un bar) e qualcuno sta ascoltando la rete.

Questo non è vero, i dati trasmessi tra l'utente e il tuo sito Web non sono mai sicuri. Ad esempio, http://www.pcmag.com/article2/0,2817,2406837,00.asp descrive in dettaglio la storia di un virus che ha cambiato le impostazioni DNS delle persone. Non importa quanto sia protetta la tua rete attuale, qualsiasi invio su Internet passa attraverso molti server diversi prima di arrivare alla tua. Ognuno di loro può essere dannoso.

I certificati SSL ti consentono di crittografare i tuoi dati in una crittografia unidirezionale che può essere decrittografata solo sul tuo server. Quindi, indipendentemente dal punto in cui i dati passano sul tuo server, nessun altro può leggere i dati.

Nella maggior parte dei casi, e questo dipende dal tuo hosting, l'installazione di un certificato è piuttosto indolore. La maggior parte dei provider lo installerà per te.

Tipi di certificati SSL

Come indicato in alcune risposte, è possibile creare i propri certificati SSL. Un certificato SSL è solo un'associazione di chiavi pubbliche e private. Il tuo server fornisce la chiave pubblica, il client la utilizza per crittografare i dati che sta inviando e solo la chiave privata sul tuo server può decrittografarla. OpenSSL è un buon strumento per crearne uno tuo.

Certificati SSL firmati

L'acquisto di un certificato da un'autorità di certificazione aggiunge un altro livello di sicurezza e affidabilità. Ancora una volta, è possibile che qualcuno si sieda tra il browser client e il tuo server web. Dovrebbero semplicemente fornire al cliente la propria chiave pubblica, decrittografare le informazioni con la loro chiave privata, crittografarle nuovamente con la propria chiave pubblica e trasmetterle a voi e né all'utente né a voi lo sapreste.

Quando un certificato firmato viene ricevuto dall'utente, il suo browser si connetterà al provider di autenticazione (Verisign, ecc.) Per convalidare che la chiave pubblica che ha ricevuto è in realtà quella per il tuo sito Web e che non vi sono state manomissioni.

Quindi, sì, dovresti avere un certificato SSL firmato per il tuo sito. Ti fa sembrare più professionale, offre ai tuoi utenti più consapevolezza nell'uso del tuo sito e, soprattutto, ti protegge dal furto di dati.

Maggiori informazioni sull'attacco di Man In The Middle che è il nocciolo del problema qui. http://en.wikipedia.org/wiki/Man-in-the-middle_attack


2

Le passworrd dovrebbero essere trattate come informazioni personali - francamente dato il riutilizzo della password, è probabilmente più sensibile di un SSN.

Data questa e la tua descrizione, mi chiedo perché stai memorizzando una password ...

Vorrei usare OpenID e se senti la necessità di avere il tuo login, creare un singolo sottodominio per quello e usare OpenID ovunque.

Se non eseguirai OpenID, puoi comunque utilizzare lo stesso schema login.yourdomain per evitare di aver bisogno di un certificato jolly, ma come ho detto, nel mondo di oggi le password sono sensibili almeno quanto SSN / compleanno, non raccoglierlo se non è necessario.


1

RapidSSL tramite Trustico costa solo $ 30 o puoi ottenere un jolly RapidSSL per meno di $ 160 - hanno anche una garanzia di prezzo, quindi se lo trovi più economico lo abbinano.


1

Se si dispone di un IP univoco, è possibile che si ottenga anche un certificato, in particolare se si tratta di dati sensibili anche in remoto. Dal momento che puoi ottenere certificati affidabili gratuiti da StartSSL , non c'è davvero alcun motivo per non averne uno.


1

Sarebbe saggio acquistarne uno. Come accennato, è ALL about end user trustsul tuo sito web.

so I'm hesitant to drop a couple of hundreds on a certificate - beh, non è costoso e potresti averne uno a meno di $ 50.

SSL: è davvero importante proteggere il tuo sito e aggiungere un livello di sicurezza ai visitatori del tuo sito. Per quanto riguarda il processo di accesso, perché NON utilizzare OAuth ? Questa funzione salterà la seccatura dell'utente di trascorrere del tempo nella registrazione per il tuo sito Web. Il traffico degli utenti del sito Web ne trarrà davvero vantaggio. Seriamente !, trova un po 'di tempo per cercarlo .

Un buon riferimento a domande SSL comuni - Tutto sui certificati SSL


0

Vorrei anche pensare di utilizzare un provider di terze parti per l'accesso (ad esempio openid). La maggior parte dei CMS lo supporta già.


-1

Un SSL presenta degli svantaggi. Rallenta il tuo sito web. Veramente.

L'unico motivo per cui le persone utilizzano i certificati SSL è quando sono coinvolti i soldi dei clienti.

Se non stai coinvolgendo i soldi dei tuoi clienti, la decisione di ottenere un certificato SSL è puramente orientata al business.

Se hai un backend per i tuoi clienti, senza soldi coinvolti nel sito web, ma devono essere sicuri che siano sicuri, allora sicuramente prendi un certificato. È un investimento per la fiducia dei tuoi clienti.


3
-1: devi SEMPRE utilizzare un certificato SSL quando i tuoi utenti inviano dati sensibili come password per la registrazione e l'accesso. Non solo quando si tratta di soldi.
marco-fiset,

2
Non sono d'accordo. Dal punto di vista commerciale, chiaramente non è necessario. Acquista un certificato SSL solo se, come detto nella risposta, stai coinvolgendo i soldi dei clienti.
Florian Margaine,

3
@Florian: SE è una rotta sito, se ti chiede informazioni personali, ma non cripta esso. Una rete di siti così vasta, in particolare quella rivolta ai programmatori, dovrebbe conoscere meglio. Per me, però, reindirizzamento al mio fornitore OpenID, che BTW fa uso di SSL. La domanda è se vale la pena riparare quella rottura. E per un sito come SO che in realtà non ha informazioni personali (a parte la password e l'indirizzo e-mail), forse hanno deciso che non lo è. Ma questa è una decisione che deve essere presa e vissuta, piuttosto che dire semplicemente "nessun numero CC? Quindi avvitare SSL".
cHao,

1
Sono stato ingannato anche dalla mancanza di SSL, ma risulta che il modulo di iscrizione è effettivamente incorporato in un iframe che chiama un indirizzo https.
methodofaction

1
@FlorianMargaine - Google ha dimostrato che le tue affermazioni di SSL hanno rallentato il tuo sito Web per colpa.
Ramhound,

-1

Far cadere un po 'di soldi su un certificato SSL con caratteri jolly potrebbe essere l'opzione migliore, oppure no. Dai un'occhiata al server web Caddy: https://caddyserver.com/ . Ha molte funzioni interessanti, in particolare il supporto integrato per ottenere certificati gratuiti da Let's Encrypt. Puoi semplicemente specificare tutti i tuoi domini nel suo file di configurazione e prenderà certs per loro. L'altra caratteristica davvero interessante è il TLS su richiesta. Se lo abiliti, ogni volta che riceve una richiesta per un nuovo dominio per cui non ha un certificato, ne prende uno durante l'handshake TLS iniziale. Ciò significa che puoi avere letteralmente migliaia di domini e non dover configurare ogni singolo nella configurazione di Caddy.

Nota: per quanto possa sembrare il mio entusiasmo, non sono affezionato a Caddy in alcun modo, forma o forma, oltre ad essere un avido utente del loro prodotto.


-4

Riguarda gli utenti, non forniscono alcun tipo di sicurezza, i certificati sono solo prodotti da vendere.

Potresti dare un'occhiata a questo

http://en.wikipedia.org/wiki/Comparison_of_SSL_certificates_for_web_servers


Non penso che quello che stai dicendo sia giusto. Un certificato non fornisce sicurezza, ma un'identità ed essere in grado di identificare gli oggetti è il primo livello di sicurezza?
Ozair Kafray,

identificare chi? Come? se hai una società chiamata "Stuff" acquisti un certificato e sei riconosciuto come "Stuff", punto. se dici di essere "Casuale" sei riconosciuto come "Casuale"; pensi che questi ragazzi abbiano un interesse minimo ad essere poliziotti su Internet?
user827992,

No, ma abbiamo recentemente acquistato un certificato per il nostro prodotto vcred.com e geotrust ha impiegato 3 mesi per verificarci come società che è riksof.com. Questo è per il Pakistan, per altri paesi richiedono meno tempo ed è perché ci verificano. Penso che verisign avrebbe anche un rigoroso processo di verifica. Quindi, non lo vendono solo come prodotto a mio avviso. Si può anche generare un certificato da solo e quindi l'assenza di CA è facilmente identificabile
Ozair Kafray,

questa azienda è un'eccezione, inoltre dipende dal tipo di certificato che stai acquistando, ma alla fine puoi essere solo un'altra persona e non è così difficile ottenerlo.
user827992

2
-1 I certificati forniscono sicurezza. Questa è la loro funzione principale.
Chris,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.