Quanto è importante un certificato SSL per un sito Web?

Sto eseguendo il bootstrap del mio progetto, ha un'area di registrazione / accesso (via idea con RoR, correttamente hash e salato ovviamente). Dato che sto usando i sottodomini e ho bisogno di accedervi con iframe (è giustificato, davvero!) Avrei bisogno di uno di quei certificati costosi che coprono i sottodomini.

Mentre lo sto facendo con il mio tempo e denaro, quindi sono riluttante a rilasciare un paio di centinaia su un certificato, oltre a un paio d'ore per approfondire qualcosa che non ho mai provato prima. Non sto memorizzando alcuna informazione sensibile oltre l'indirizzo e-mail e la password. A quanto ho capito, l'unica vulnerabilità si verifica quando un utente accede o si registra da una rete non crittografata (come un bar) e qualcuno sta ascoltando la rete.

Sono a buon mercato? È qualcosa che dovrei affrontare prima di uscire in libertà? Probabilmente dovrei dire che ho 25.000 utenti registrati per essere avvisati quando lancio, quindi sono nervoso per questo.

Nel tempo da quando questa domanda è stata posta, molte cose sono cambiate. Il tuo sito ha bisogno di HTTPS? SÌ!

1. I certificati con convalida del dominio sono gratuiti da molti provider, ad esempio Let's Encrypt. Questi certificati sono buoni quanto quelli per cui paghi. Grazie all'identificazione del nome del server, non è necessario possedere un indirizzo IP.

2. I browser contrassegnano sempre più le pagine non HTTPS come non sicure , anziché neutre. Avere il tuo sito contrassegnato come insicuro non sembra buono.

3. Le moderne tecnologie web richiedono la crittografia. Sia che si tratti della politica di Chrome di abilitare solo nuove funzionalità per i siti HTTPS, del posizionamento preferito di Google per i siti HTTPS o che HTTP / 2 crittografato sia più veloce di HTTP / 1.1 in chiaro , stai lasciando opportunità sul tavolo. Sì, la crittografia aggiunge carico ai tuoi server, ma ciò è impercettibile per la maggior parte dei siti e in particolare è impercettibile per gli utenti.

4. La privacy è più importante che mai. Che si tratti di ISP che vendono i tuoi clickstream o di servizi segreti che setacciano tutte le tue connessioni, non c'è motivo di lasciare pubblicamente visibili le comunicazioni. Utilizza HTTPS per impostazione predefinita e utilizza HTTP solo se sei sicuro che qualsiasi informazione trasmessa possa essere tranquillamente pubblica e che possa essere manomessa.

   Si noti che le password non devono essere trasmesse tramite connessioni in testo normale.

   In base ad alcune normative come EU-GDPR, è necessario implementare misure di sicurezza all'avanguardia, che generalmente includano HTTPS per i siti Web.

Esistono un paio di non soluzioni:

• "Usa OAuth invece di password" manca il punto che ci sono ancora token simili a password coinvolti. Per lo meno, i tuoi utenti avranno un cookie di sessione che deve essere protetto, poiché funge da password temporanea.

• I certificati autofirmati vengono rifiutati dai browser. È possibile aggiungere un'eccezione, ma la maggior parte degli utenti non sarà in grado di farlo. Si noti che la presentazione di un certificato autofirmato non è distinguibile per l'utente da un attacco MITM che utilizza un certificato non valido.

Quindi: i certificati sono gratuiti e HTTPS può rendere il tuo sito più veloce. Non ci sono più scuse valide. Passaggi successivi: leggi questa guida sulla migrazione a HTTPS .

Ne comprerei uno. Il costo del certificato non è così grande considerato il livello di fiducia che offre agli utenti. Pensalo come un investimento. Se le tue applicazioni non sembrano essere sicure (e i certificati SSL correttamente firmati danno per scontato che un sito Web sia sicuro) le persone potrebbero perdere interesse nell'utilizzo dei tuoi prodotti futuri.

Se stai "solo" raccogliendo e-mail e password, potresti voler provare a creare il tuo certificato OpenSSL (http://www.openssl.org/) prima di impegnare fondi.

Ma...

Questo è solo qualcosa che puoi fare per "provare le cose" perché gli utenti del sito Web avranno una guerra in quanto questo non sarà un certificato riconosciuto / accettato.

Il mio consiglio è di investire in SSL, semplicemente perché e-mail e password sono dati privati ​​molto sensibili che possono portare ad altri tipi di esposizioni (diciamo che uso lo stesso pass per il mio account e-mail - se queste informazioni perdono, allora tutte le e-mail i dati sono esposti, compresi i dati CC, tutte le informazioni di accesso che ho per altri servizi online e dio sa cos'altro ...)

Abbiamo bisogno di un WEB sicuro e affidabile e poche decine di dollari sono un piccolo prezzo da pagare per la sicurezza degli utenti. (anche di base come SSL)

Problemi di sicurezza

A quanto ho capito, l'unica vulnerabilità si verifica quando un utente accede o si registra da una rete non crittografata (come un bar) e qualcuno sta ascoltando la rete.

Questo non è vero, i dati trasmessi tra l'utente e il tuo sito Web non sono mai sicuri. Ad esempio, http://www.pcmag.com/article2/0,2817,2406837,00.asp descrive in dettaglio la storia di un virus che ha cambiato le impostazioni DNS delle persone. Non importa quanto sia protetta la tua rete attuale, qualsiasi invio su Internet passa attraverso molti server diversi prima di arrivare alla tua. Ognuno di loro può essere dannoso.

I certificati SSL ti consentono di crittografare i tuoi dati in una crittografia unidirezionale che può essere decrittografata solo sul tuo server. Quindi, indipendentemente dal punto in cui i dati passano sul tuo server, nessun altro può leggere i dati.

Nella maggior parte dei casi, e questo dipende dal tuo hosting, l'installazione di un certificato è piuttosto indolore. La maggior parte dei provider lo installerà per te.

Tipi di certificati SSL

Come indicato in alcune risposte, è possibile creare i propri certificati SSL. Un certificato SSL è solo un'associazione di chiavi pubbliche e private. Il tuo server fornisce la chiave pubblica, il client la utilizza per crittografare i dati che sta inviando e solo la chiave privata sul tuo server può decrittografarla. OpenSSL è un buon strumento per crearne uno tuo.

Certificati SSL firmati

L'acquisto di un certificato da un'autorità di certificazione aggiunge un altro livello di sicurezza e affidabilità. Ancora una volta, è possibile che qualcuno si sieda tra il browser client e il tuo server web. Dovrebbero semplicemente fornire al cliente la propria chiave pubblica, decrittografare le informazioni con la loro chiave privata, crittografarle nuovamente con la propria chiave pubblica e trasmetterle a voi e né all'utente né a voi lo sapreste.

Quando un certificato firmato viene ricevuto dall'utente, il suo browser si connetterà al provider di autenticazione (Verisign, ecc.) Per convalidare che la chiave pubblica che ha ricevuto è in realtà quella per il tuo sito Web e che non vi sono state manomissioni.

Quindi, sì, dovresti avere un certificato SSL firmato per il tuo sito. Ti fa sembrare più professionale, offre ai tuoi utenti più consapevolezza nell'uso del tuo sito e, soprattutto, ti protegge dal furto di dati.

Maggiori informazioni sull'attacco di Man In The Middle che è il nocciolo del problema qui. http://en.wikipedia.org/wiki/Man-in-the-middle_attack

Le passworrd dovrebbero essere trattate come informazioni personali - francamente dato il riutilizzo della password, è probabilmente più sensibile di un SSN.

Data questa e la tua descrizione, mi chiedo perché stai memorizzando una password ...

Vorrei usare OpenID e se senti la necessità di avere il tuo login, creare un singolo sottodominio per quello e usare OpenID ovunque.

Se non eseguirai OpenID, puoi comunque utilizzare lo stesso schema login.yourdomain per evitare di aver bisogno di un certificato jolly, ma come ho detto, nel mondo di oggi le password sono sensibili almeno quanto SSN / compleanno, non raccoglierlo se non è necessario.

RapidSSL tramite Trustico costa solo $ 30 o puoi ottenere un jolly RapidSSL per meno di $ 160 - hanno anche una garanzia di prezzo, quindi se lo trovi più economico lo abbinano.

Se si dispone di un IP univoco, è possibile che si ottenga anche un certificato, in particolare se si tratta di dati sensibili anche in remoto. Dal momento che puoi ottenere certificati affidabili gratuiti da StartSSL , non c'è davvero alcun motivo per non averne uno.

Sarebbe saggio acquistarne uno. Come accennato, è ALL about end user trustsul tuo sito web.

so I'm hesitant to drop a couple of hundreds on a certificate - beh, non è costoso e potresti averne uno a meno di $ 50.

SSL: è davvero importante proteggere il tuo sito e aggiungere un livello di sicurezza ai visitatori del tuo sito. Per quanto riguarda il processo di accesso, perché NON utilizzare OAuth ? Questa funzione salterà la seccatura dell'utente di trascorrere del tempo nella registrazione per il tuo sito Web. Il traffico degli utenti del sito Web ne trarrà davvero vantaggio. Seriamente !, trova un po 'di tempo per cercarlo .

Un buon riferimento a domande SSL comuni - Tutto sui certificati SSL

Vorrei anche pensare di utilizzare un provider di terze parti per l'accesso (ad esempio openid). La maggior parte dei CMS lo supporta già.

Un SSL presenta degli svantaggi. Rallenta il tuo sito web. Veramente.

L'unico motivo per cui le persone utilizzano i certificati SSL è quando sono coinvolti i soldi dei clienti.

Se non stai coinvolgendo i soldi dei tuoi clienti, la decisione di ottenere un certificato SSL è puramente orientata al business.

Se hai un backend per i tuoi clienti, senza soldi coinvolti nel sito web, ma devono essere sicuri che siano sicuri, allora sicuramente prendi un certificato. È un investimento per la fiducia dei tuoi clienti.

Far cadere un po 'di soldi su un certificato SSL con caratteri jolly potrebbe essere l'opzione migliore, oppure no. Dai un'occhiata al server web Caddy: https://caddyserver.com/ . Ha molte funzioni interessanti, in particolare il supporto integrato per ottenere certificati gratuiti da Let's Encrypt. Puoi semplicemente specificare tutti i tuoi domini nel suo file di configurazione e prenderà certs per loro. L'altra caratteristica davvero interessante è il TLS su richiesta. Se lo abiliti, ogni volta che riceve una richiesta per un nuovo dominio per cui non ha un certificato, ne prende uno durante l'handshake TLS iniziale. Ciò significa che puoi avere letteralmente migliaia di domini e non dover configurare ogni singolo nella configurazione di Caddy.

Nota: per quanto possa sembrare il mio entusiasmo, non sono affezionato a Caddy in alcun modo, forma o forma, oltre ad essere un avido utente del loro prodotto.

Riguarda gli utenti, non forniscono alcun tipo di sicurezza, i certificati sono solo prodotti da vendere.

Potresti dare un'occhiata a questo

http://en.wikipedia.org/wiki/Comparison_of_SSL_certificates_for_web_servers