Wie wichtig ist ein SSL-Zertifikat für eine Website?

Ich starte mein eigenes Projekt mit einem Bootstrap, es hat einen Registrierungs- / Login-Bereich (über RoR, natürlich richtig gehasht und gesalzen). Da ich Subdomains verwende und mit iframes darauf zugreifen muss (das ist wirklich gerechtfertigt!), Benötige ich eines dieser teuren Zertifikate, die Subdomains abdecken.

Da ich das aus meiner eigenen Zeit und meinem eigenen Geld mache, zögere ich, ein paar Hundert auf ein Zertifikat zu schreiben und ein paar Stunden in etwas zu stöbern, was ich vorher noch nicht ausprobiert habe. Ich speichere keine vertraulichen Informationen außer der E-Mail-Adresse und dem Passwort. Soweit ich weiß, tritt die einzige Sicherheitsanfälligkeit auf, wenn sich ein Benutzer in einem unverschlüsselten Netzwerk (z. B. einem Café) anmeldet oder anmeldet und jemand das Netzwerk überwacht.

Bin ich billig? Ist das etwas, das ich angehen sollte, bevor ich in die Wildnis entlassen werde? Ich sollte wahrscheinlich erwähnen, dass ich 25.000 Benutzer angemeldet habe, um benachrichtigt zu werden, wenn ich starte, also bin ich darüber nervös.

In der Zeit, seitdem diese Frage gestellt wurde, hat sich viel geändert. Benötigt Ihre Site HTTPS? JA!

1. Zertifikate mit Domain-Validierung sind von vielen Anbietern kostenlos , zB Let's Encrypt. Diese Zertifikate sind genauso gut wie die, für die Sie Geld bezahlen. Dank der Identifizierung des Servernamens ist es nicht erforderlich, eine IP-Adresse zu besitzen.

2. Browser markieren Nicht-HTTPS-Seiten zunehmend als unsicher und nicht als neutral. Ihre Site als unsicher zu kennzeichnen, sieht nicht gut aus.

3. Moderne Webtechnologien erfordern Verschlüsselung. Ganz gleich, ob es in Chrome darum geht, nur neue Funktionen für HTTPS-Websites zu aktivieren, das von Google bevorzugte Ranking für HTTPS-Websites oder verschlüsseltes HTTP / 2 schneller als Text-HTTP / 1.1 zu sein , Sie lassen Chancen offen. Ja, die Verschlüsselung erhöht die Belastung Ihrer Server, dies ist jedoch für die meisten Websites und insbesondere für Benutzer nicht erkennbar.

4. Datenschutz ist wichtiger denn je. Ob es sich um ISPs handelt, die Ihren Clickstream verkaufen, oder um Geheimdienste, die alle Ihre Verbindungen durchsuchen - es gibt keinen guten Grund, Kommunikation öffentlich sichtbar zu machen. Verwenden Sie standardmäßig HTTPS und verwenden Sie HTTP nur, wenn Sie sicher sind, dass übertragene Informationen sicher öffentlich sind und manipuliert werden können.

   Beachten Sie, dass Passwörter nicht über Klartextverbindungen übertragen werden dürfen.

   Bei einigen Bestimmungen wie der EU-DSGVO müssen Sie die neuesten Sicherheitsmaßnahmen implementieren, die im Allgemeinen HTTPS für Websites umfassen.

Es gibt einige Nichtlösungen:

• Bei „Verwenden von OAuth anstelle von Kennwörtern“ wird der Punkt übersehen, dass es sich immer noch um kennwortähnliche Token handelt. Zumindest haben Ihre Benutzer ein Sitzungscookie, das geschützt werden muss, da es als temporäres Kennwort dient.

• Selbstsignierte Zertifikate werden von Browsern abgelehnt. Es ist möglich, eine Ausnahme hinzuzufügen, aber die meisten Benutzer sind dazu nicht in der Lage. Beachten Sie, dass das Präsentieren eines selbstsignierten Zertifikats für den Benutzer nicht von einem MITM-Angriff mit einem ungültigen Zertifikat zu unterscheiden ist.

Also: Zertifikate sind kostenlos und HTTPS kann Ihre Site schneller machen. Es gibt keine gültige Entschuldigung mehr. Nächste Schritte: Lesen Sie dieses Handbuch zur Migration auf HTTPS .

Ich würde einen kaufen. Die Kosten für das Zertifikat sind angesichts des Vertrauensniveaus, das es den Benutzern bietet, nicht so hoch. Betrachten Sie es als Investition. Wenn Ihre Anwendungen nicht sicher zu sein scheinen (und ordnungsgemäß signierte SSL-Zertifikate die Annahme erwecken, dass eine Website sicher ist), verlieren Benutzer möglicherweise das Interesse an der Verwendung Ihrer zukünftigen Produkte.

Wenn Sie "nur" E-Mails und Passwörter sammeln, möchten Sie möglicherweise versuchen, ein eigenes OpenSSL-Zertifikat (http://www.openssl.org/) zu erstellen, bevor Sie Geld überweisen.

Aber...

Dies ist nur etwas, was Sie tun können, um "Dinge auszuprobieren", da Website-Benutzer einen Konflikt erhalten, da dies kein anerkanntes / akzeptiertes Zertifikat ist.

Mein Rat ist, in SSL zu investieren, einfach weil E-Mail und Passwörter sehr sensible private Daten sind, die zu anderen Gefährdungen führen können (sagen wir, ich verwende den gleichen Pass für mein E-Mail-Konto - wenn diese Information ausläuft, dann alle E-Mails Daten werden angezeigt, einschließlich CC-Daten, sämtlicher Zugangsdaten, die ich für andere Onlinedienste habe, und Gott weiß, was noch ...)

Wir brauchen ein sicheres und vertrauenswürdiges WEB und ein paar Dutzend Dollar sind ein kleiner Preis für die Sicherheit der Benutzer. (auch so einfach wie SSL)

Sicherheitsbedenken

Soweit ich weiß, tritt die einzige Sicherheitsanfälligkeit auf, wenn sich ein Benutzer in einem unverschlüsselten Netzwerk (z. B. einem Café) anmeldet oder anmeldet und jemand das Netzwerk überwacht.

Dies ist nicht der Fall, da die zwischen dem Benutzer und Ihrer Website übertragenen Daten niemals sicher sind. Nur als Beispiel: http://www.pcmag.com/article2/0,2817,2406837,00.asp die Geschichte eines Virus, der die DNS-Einstellungen von Personen geändert hat. Unabhängig davon, wie gut Ihr aktuelles Netzwerk geschützt ist, durchläuft jede Einreichung im Internet viele verschiedene Server, bevor sie bei Ihnen eingeht. Jeder von ihnen kann bösartig sein.

Mit SSL-Zertifikaten können Sie Ihre Daten mit einer Einwegverschlüsselung verschlüsseln, die nur auf Ihrem Server entschlüsselt werden kann. Egal, wo sich die Daten auf dem Weg zu Ihrem Server befinden, niemand anderes kann die Daten lesen.

In den meisten Fällen, und dies hängt von Ihrem Hosting ab, ist die Installation eines Zertifikats ziemlich schmerzlos. Die meisten Anbieter werden es für Sie installieren.

SSL-Zertifikatstypen

Wie in einigen Antworten erwähnt, können Sie Ihre eigenen SSL-Zertifikate erstellen. Ein SSL-Zertifikat ist nur eine öffentliche und private Schlüsselpaarung. Ihr Server gibt den öffentlichen Schlüssel aus, der Client verwendet ihn zum Verschlüsseln der von ihm gesendeten Daten, und nur der private Schlüssel auf Ihrem Server kann ihn entschlüsseln. OpenSSL ist ein gutes Werkzeug, um Ihre eigenen zu erstellen.

Signierte SSL-Zertifikate

Der Kauf eines Zertifikats von einer Zertifizierungsstelle erhöht die Sicherheit und das Vertrauen. Auch hier ist es möglich, dass sich jemand zwischen dem Client-Browser und Ihrem Webserver befindet. Sie müssten dem Kunden lediglich ihren eigenen öffentlichen Schlüssel geben, die Informationen mit ihrem privaten Schlüssel entschlüsseln, sie mit Ihrem öffentlichen Schlüssel erneut verschlüsseln und an Sie und weder den Benutzer noch Sie weitergeben.

Wenn der Benutzer ein signiertes Zertifikat erhält, stellt sein Browser eine Verbindung zum Authentifizierungsanbieter (Verisign usw.) her, um zu bestätigen, dass der von ihm erhaltene öffentliche Schlüssel tatsächlich der für Ihre Website ist und dass keine Manipulationen vorgenommen wurden.

Ja, Sie sollten ein signiertes SSL-Zertifikat für Ihre Site haben. Dadurch sehen Sie professioneller aus, können Ihre Benutzer Ihre Website besser nutzen und sind vor Datendiebstahl geschützt.

Weitere Informationen zum Man In The Middle-Angriff, der den Kern des Problems darstellt, finden Sie hier. http://en.wikipedia.org/wiki/Man-in-the-middle_attack

Passwörter sollten als persönliche Informationen behandelt werden - ehrlich gesagt, ist die Wiederverwendung von Passwörtern wahrscheinlich sensibler als eine SSN.

Angesichts dessen und Ihrer Beschreibung frage ich mich, warum Sie überhaupt ein Passwort speichern ...

Ich würde OpenID verwenden, und wenn Sie das Bedürfnis haben, ein eigenes Login zu haben, erstellen Sie eine einzelne Subdomain dafür und verwenden Sie OpenID überall anders.

Wenn Sie OpenID nicht ausführen, können Sie immer noch dasselbe login.yourdomain-Muster verwenden, um zu verhindern, dass ein Platzhalterzertifikat benötigt wird. Wie ich bereits sagte, sind Kennwörter in der heutigen Welt mindestens so vertraulich wie SSN / Geburtstag. Sammeln Sie sie jedoch nicht wenn du nicht musst.

RapidSSL über Trustico kostet nur 30 US-Dollar, oder Sie können eine RapidSSL-Wildcard für weniger als 160 US-Dollar erwerben. Sie haben auch eine Preisgarantie.

Wenn Sie eine eindeutige IP-Adresse haben, erhalten Sie möglicherweise auch ein Zertifikat, insbesondere dann, wenn Sie mit Daten arbeiten, die auch aus der Ferne sensibel sind. Da Sie kostenlose vertrauenswürdige Zertifikate von StartSSL erhalten können , gibt es keinen Grund, auf eines zu verzichten.

Es wäre ratsam, eine zu kaufen. Wie bereits erwähnt, handelt es sich ALL about end user trustum Ihre Website.

so I'm hesitant to drop a couple of hundreds on a certificate - Nun, es ist nicht teuer und Sie können eine unter 50 $ bekommen.

SSL - ist sehr wichtig, um Ihre Website zu schützen und den Besuchern Ihrer Website ein gewisses Maß an Vertrauen zu verleihen. Warum NICHT OAuth benutzen, um sich anzumelden ? Diese Funktion erspart dem Benutzer viel Zeit bei der Registrierung für Ihre Website. Der Besucherverkehr auf der Website wird davon wirklich profitieren. Im Ernst !, finden Sie etwas Zeit, um es zu erforschen .

Eine gute Referenz zu häufigen SSL-Fragen - Alles über SSL-Zertifikate

Ich würde auch darüber nachdenken, einen Drittanbieter für das Login zu verwenden (zB openid). Die meisten CMS unterstützen es bereits.

Ein SSL hat Nachteile. Es verlangsamt Ihre Website. Ja wirklich.

Der einzige Grund, warum Leute SSL-Zertifikate verwenden, ist, wenn es um das Geld der Kunden geht.

Wenn Sie das Geld Ihrer Kunden nicht mit einbeziehen, ist die Entscheidung für ein SSL-Zertifikat rein geschäftsorientiert.

Wenn Sie ein Backend für Ihre Kunden haben, für das kein Geld auf der Website anfällt, die aber sicher sein müssen, dass sie sicher sind, sollten Sie ein Zertifikat mitnehmen. Es ist eine Investition für das Vertrauen Ihrer Kunden.

Das Löschen von etwas Geld auf einem Wildcard-SSL-Zertifikat ist möglicherweise die beste Option oder nicht. Schauen Sie sich den Caddy-Webserver an: https://caddyserver.com/ . Es hat viele nette Funktionen, insbesondere eine eingebaute Unterstützung für das Abrufen kostenloser Zertifikate von Let's Encrypt. Sie können einfach alle Ihre Domänen in der Konfigurationsdatei angeben, und es werden Zertifikate für sie abgerufen. Die andere wirklich coole Funktion ist On-Demand TLS. Wenn Sie diese Option aktivieren, wird beim ersten TLS-Handshake eine Anforderung für eine neue Domain abgerufen, für die es kein Zertifikat gibt .Das bedeutet, dass Sie buchstäblich Tausende von Domänen haben können und nicht jede einzelne in der Caddy-Konfiguration konfigurieren müssen.

Hinweis: So sehr meine Begeisterung auch scheinen mag, ich bin in keiner Weise, in keiner Form oder in keiner anderen Form mit Caddy verbunden, als ein begeisterter Benutzer ihres Produkts zu sein.

Es geht nur um die Benutzer, sie bieten keinerlei Sicherheit, die Zertifikate sind nur zu verkaufende Produkte.

Vielleicht möchten Sie einen Blick darauf werfen

http://en.wikipedia.org/wiki/Comparison_of_SSL_certificates_for_web_servers