Wie wichtig ist ein SSL-Zertifikat für eine Website?


14

Ich starte mein eigenes Projekt mit einem Bootstrap, es hat einen Registrierungs- / Login-Bereich (über RoR, natürlich richtig gehasht und gesalzen). Da ich Subdomains verwende und mit iframes darauf zugreifen muss (das ist wirklich gerechtfertigt!), Benötige ich eines dieser teuren Zertifikate, die Subdomains abdecken.

Da ich das aus meiner eigenen Zeit und meinem eigenen Geld mache, zögere ich, ein paar Hundert auf ein Zertifikat zu schreiben und ein paar Stunden in etwas zu stöbern, was ich vorher noch nicht ausprobiert habe. Ich speichere keine vertraulichen Informationen außer der E-Mail-Adresse und dem Passwort. Soweit ich weiß, tritt die einzige Sicherheitsanfälligkeit auf, wenn sich ein Benutzer in einem unverschlüsselten Netzwerk (z. B. einem Café) anmeldet oder anmeldet und jemand das Netzwerk überwacht.

Bin ich billig? Ist das etwas, das ich angehen sollte, bevor ich in die Wildnis entlassen werde? Ich sollte wahrscheinlich erwähnen, dass ich 25.000 Benutzer angemeldet habe, um benachrichtigt zu werden, wenn ich starte, also bin ich darüber nervös.


1
Weil er ein Wildcard-Zertifikat benötigt, um seine Subdomains abzudecken.
Pritaeas

1
Aber sind die Subdomains wirklich notwendig? Ist es möglich, eine Art (sicheren) Proxy vor alle zu stellen, damit es wie eine einzelne Site aussieht?
Donal Fellows

3
Wenn 25.000 Benutzer auf Ihren Start warten, sollte es kein Problem sein, einige Hundert Dollar auszugeben.
Marco-Fiset

2
Trotz vieler Antworten und Kommentare ist ein signiertes SSL-Zertifikat ein wesentlicher Bestandteil der Datensicherung auf Ihrer Website. Alles, was der Benutzer sieht oder sendet, kann ausspioniert werden, wenn Sie nicht über eines verfügen, unabhängig davon, von wo aus er eine Verbindung herstellt.
Chris

2
@ RyanKinal Uhh ... funktionieren und validieren diese tatsächlich korrekt in Standard-Browsern? Ich hätte gedacht, dass jede CA, die Zertifikate kostenlos anbietet, ihren Signaturschlüssel auf die schwarze Liste setzen würde
TheLQ,

Antworten:


5

In der Zeit, seitdem diese Frage gestellt wurde, hat sich viel geändert. Benötigt Ihre Site HTTPS? JA!

  1. Zertifikate mit Domain-Validierung sind von vielen Anbietern kostenlos , zB Let's Encrypt. Diese Zertifikate sind genauso gut wie die, für die Sie Geld bezahlen. Dank der Identifizierung des Servernamens ist es nicht erforderlich, eine IP-Adresse zu besitzen.

  2. Browser markieren Nicht-HTTPS-Seiten zunehmend als unsicher und nicht als neutral. Ihre Site als unsicher zu kennzeichnen, sieht nicht gut aus.

  3. Moderne Webtechnologien erfordern Verschlüsselung. Ganz gleich, ob es in Chrome darum geht, nur neue Funktionen für HTTPS-Websites zu aktivieren, das von Google bevorzugte Ranking für HTTPS-Websites oder verschlüsseltes HTTP / 2 schneller als Text-HTTP / 1.1 zu sein , Sie lassen Chancen offen. Ja, die Verschlüsselung erhöht die Belastung Ihrer Server, dies ist jedoch für die meisten Websites und insbesondere für Benutzer nicht erkennbar.

  4. Datenschutz ist wichtiger denn je. Ob es sich um ISPs handelt, die Ihren Clickstream verkaufen, oder um Geheimdienste, die alle Ihre Verbindungen durchsuchen - es gibt keinen guten Grund, Kommunikation öffentlich sichtbar zu machen. Verwenden Sie standardmäßig HTTPS und verwenden Sie HTTP nur, wenn Sie sicher sind, dass übertragene Informationen sicher öffentlich sind und manipuliert werden können.

    Beachten Sie, dass Passwörter nicht über Klartextverbindungen übertragen werden dürfen.

    Bei einigen Bestimmungen wie der EU-DSGVO müssen Sie die neuesten Sicherheitsmaßnahmen implementieren, die im Allgemeinen HTTPS für Websites umfassen.

Es gibt einige Nichtlösungen:

  • Bei „Verwenden von OAuth anstelle von Kennwörtern“ wird der Punkt übersehen, dass es sich immer noch um kennwortähnliche Token handelt. Zumindest haben Ihre Benutzer ein Sitzungscookie, das geschützt werden muss, da es als temporäres Kennwort dient.

  • Selbstsignierte Zertifikate werden von Browsern abgelehnt. Es ist möglich, eine Ausnahme hinzuzufügen, aber die meisten Benutzer sind dazu nicht in der Lage. Beachten Sie, dass das Präsentieren eines selbstsignierten Zertifikats für den Benutzer nicht von einem MITM-Angriff mit einem ungültigen Zertifikat zu unterscheiden ist.

Also: Zertifikate sind kostenlos und HTTPS kann Ihre Site schneller machen. Es gibt keine gültige Entschuldigung mehr. Nächste Schritte: Lesen Sie dieses Handbuch zur Migration auf HTTPS .


Ich bin damit einverstanden, dass der Trend heutzutage darin besteht, Ihre Website aufgrund der von Ihnen genannten Vorteile zu httpsen, auch wenn Sie nicht mit der Registrierung von Benutzern und dergleichen befasst sind. Ich wähle dies als die richtige Antwort.
Methodofaction

1
Als Ergänzung: HTTPS bringt nicht nur Datenschutz, sondern auch Integrität. Aufgrund der Verschlüsselung können Sie auch sicher sein, dass es sich bei den empfangenen Daten tatsächlich um die Daten handelt, die von jemandem auf dem Weg gesendet und nicht geändert wurden
Johannes,

24

Ich würde einen kaufen. Die Kosten für das Zertifikat sind angesichts des Vertrauensniveaus, das es den Benutzern bietet, nicht so hoch. Betrachten Sie es als Investition. Wenn Ihre Anwendungen nicht sicher zu sein scheinen (und ordnungsgemäß signierte SSL-Zertifikate die Annahme erwecken, dass eine Website sicher ist), verlieren Benutzer möglicherweise das Interesse an der Verwendung Ihrer zukünftigen Produkte.


1
Insgesamt ist SSL ein gutes Gefühl für Nicht-Tech-Leute
Jakub

und auf der anderen Seite: kein SSL ist ein "fühle mich sehr schlecht und misstrauisch" für den typischen Benutzer
Andrzej Bobak

Nur signierte Zertifikate können Vertrauen schaffen. Es ist weiterhin möglich, Daten ohne ein signiertes Zertifikat zu stehlen. Man-in-the-Middle-Angriffe funktionieren immer noch, indem dem Client ein falsches Zertifikat zur Verfügung gestellt wird.
Chris

Vielen Dank für die Hinweise, der allgemeine Konsens scheint darauf hinzudeuten, dass ein SSL nicht etwas ist, worüber ich nachdenken sollte. Ich habe ein kostenloses Zertifikat von StartSSL installiert und werde das Wildcard-Zertifikat kaufen, wenn ich method.ac
methodofaction

5

Wenn Sie "nur" E-Mails und Passwörter sammeln, möchten Sie möglicherweise versuchen, ein eigenes OpenSSL-Zertifikat (http://www.openssl.org/) zu erstellen, bevor Sie Geld überweisen.

Aber...

Dies ist nur etwas, was Sie tun können, um "Dinge auszuprobieren", da Website-Benutzer einen Konflikt erhalten, da dies kein anerkanntes / akzeptiertes Zertifikat ist.

Mein Rat ist, in SSL zu investieren, einfach weil E-Mail und Passwörter sehr sensible private Daten sind, die zu anderen Gefährdungen führen können (sagen wir, ich verwende den gleichen Pass für mein E-Mail-Konto - wenn diese Information ausläuft, dann alle E-Mails Daten werden angezeigt, einschließlich CC-Daten, sämtlicher Zugangsdaten, die ich für andere Onlinedienste habe, und Gott weiß, was noch ...)

Wir brauchen ein sicheres und vertrauenswürdiges WEB und ein paar Dutzend Dollar sind ein kleiner Preis für die Sicherheit der Benutzer. (auch so einfach wie SSL)


5

Sicherheitsbedenken

Soweit ich weiß, tritt die einzige Sicherheitsanfälligkeit auf, wenn sich ein Benutzer in einem unverschlüsselten Netzwerk (z. B. einem Café) anmeldet oder anmeldet und jemand das Netzwerk überwacht.

Dies ist nicht der Fall, da die zwischen dem Benutzer und Ihrer Website übertragenen Daten niemals sicher sind. Nur als Beispiel: http://www.pcmag.com/article2/0,2817,2406837,00.asp die Geschichte eines Virus, der die DNS-Einstellungen von Personen geändert hat. Unabhängig davon, wie gut Ihr aktuelles Netzwerk geschützt ist, durchläuft jede Einreichung im Internet viele verschiedene Server, bevor sie bei Ihnen eingeht. Jeder von ihnen kann bösartig sein.

Mit SSL-Zertifikaten können Sie Ihre Daten mit einer Einwegverschlüsselung verschlüsseln, die nur auf Ihrem Server entschlüsselt werden kann. Egal, wo sich die Daten auf dem Weg zu Ihrem Server befinden, niemand anderes kann die Daten lesen.

In den meisten Fällen, und dies hängt von Ihrem Hosting ab, ist die Installation eines Zertifikats ziemlich schmerzlos. Die meisten Anbieter werden es für Sie installieren.

SSL-Zertifikatstypen

Wie in einigen Antworten erwähnt, können Sie Ihre eigenen SSL-Zertifikate erstellen. Ein SSL-Zertifikat ist nur eine öffentliche und private Schlüsselpaarung. Ihr Server gibt den öffentlichen Schlüssel aus, der Client verwendet ihn zum Verschlüsseln der von ihm gesendeten Daten, und nur der private Schlüssel auf Ihrem Server kann ihn entschlüsseln. OpenSSL ist ein gutes Werkzeug, um Ihre eigenen zu erstellen.

Signierte SSL-Zertifikate

Der Kauf eines Zertifikats von einer Zertifizierungsstelle erhöht die Sicherheit und das Vertrauen. Auch hier ist es möglich, dass sich jemand zwischen dem Client-Browser und Ihrem Webserver befindet. Sie müssten dem Kunden lediglich ihren eigenen öffentlichen Schlüssel geben, die Informationen mit ihrem privaten Schlüssel entschlüsseln, sie mit Ihrem öffentlichen Schlüssel erneut verschlüsseln und an Sie und weder den Benutzer noch Sie weitergeben.

Wenn der Benutzer ein signiertes Zertifikat erhält, stellt sein Browser eine Verbindung zum Authentifizierungsanbieter (Verisign usw.) her, um zu bestätigen, dass der von ihm erhaltene öffentliche Schlüssel tatsächlich der für Ihre Website ist und dass keine Manipulationen vorgenommen wurden.

Ja, Sie sollten ein signiertes SSL-Zertifikat für Ihre Site haben. Dadurch sehen Sie professioneller aus, können Ihre Benutzer Ihre Website besser nutzen und sind vor Datendiebstahl geschützt.

Weitere Informationen zum Man In The Middle-Angriff, der den Kern des Problems darstellt, finden Sie hier. http://en.wikipedia.org/wiki/Man-in-the-middle_attack


2

Passwörter sollten als persönliche Informationen behandelt werden - ehrlich gesagt, ist die Wiederverwendung von Passwörtern wahrscheinlich sensibler als eine SSN.

Angesichts dessen und Ihrer Beschreibung frage ich mich, warum Sie überhaupt ein Passwort speichern ...

Ich würde OpenID verwenden, und wenn Sie das Bedürfnis haben, ein eigenes Login zu haben, erstellen Sie eine einzelne Subdomain dafür und verwenden Sie OpenID überall anders.

Wenn Sie OpenID nicht ausführen, können Sie immer noch dasselbe login.yourdomain-Muster verwenden, um zu verhindern, dass ein Platzhalterzertifikat benötigt wird. Wie ich bereits sagte, sind Kennwörter in der heutigen Welt mindestens so vertraulich wie SSN / Geburtstag. Sammeln Sie sie jedoch nicht wenn du nicht musst.


1

RapidSSL über Trustico kostet nur 30 US-Dollar, oder Sie können eine RapidSSL-Wildcard für weniger als 160 US-Dollar erwerben. Sie haben auch eine Preisgarantie.


1

Wenn Sie eine eindeutige IP-Adresse haben, erhalten Sie möglicherweise auch ein Zertifikat, insbesondere dann, wenn Sie mit Daten arbeiten, die auch aus der Ferne sensibel sind. Da Sie kostenlose vertrauenswürdige Zertifikate von StartSSL erhalten können , gibt es keinen Grund, auf eines zu verzichten.


1

Es wäre ratsam, eine zu kaufen. Wie bereits erwähnt, handelt es sich ALL about end user trustum Ihre Website.

so I'm hesitant to drop a couple of hundreds on a certificate - Nun, es ist nicht teuer und Sie können eine unter 50 $ bekommen.

SSL - ist sehr wichtig, um Ihre Website zu schützen und den Besuchern Ihrer Website ein gewisses Maß an Vertrauen zu verleihen. Warum NICHT OAuth benutzen, um sich anzumelden ? Diese Funktion erspart dem Benutzer viel Zeit bei der Registrierung für Ihre Website. Der Besucherverkehr auf der Website wird davon wirklich profitieren. Im Ernst !, finden Sie etwas Zeit, um es zu erforschen .

Eine gute Referenz zu häufigen SSL-Fragen - Alles über SSL-Zertifikate


0

Ich würde auch darüber nachdenken, einen Drittanbieter für das Login zu verwenden (zB openid). Die meisten CMS unterstützen es bereits.


-1

Ein SSL hat Nachteile. Es verlangsamt Ihre Website. Ja wirklich.

Der einzige Grund, warum Leute SSL-Zertifikate verwenden, ist, wenn es um das Geld der Kunden geht.

Wenn Sie das Geld Ihrer Kunden nicht mit einbeziehen, ist die Entscheidung für ein SSL-Zertifikat rein geschäftsorientiert.

Wenn Sie ein Backend für Ihre Kunden haben, für das kein Geld auf der Website anfällt, die aber sicher sein müssen, dass sie sicher sind, sollten Sie ein Zertifikat mitnehmen. Es ist eine Investition für das Vertrauen Ihrer Kunden.


3
-1: Sie müssen IMMER ein SSL-Zertifikat verwenden, wenn Ihre Benutzer vertrauliche Daten wie Kennwörter zur Registrierung und Anmeldung übermitteln. Nicht nur, wenn es um Geld geht.
Marco-Fiset

2
Ich stimme dir nicht zu. Aus geschäftlicher Sicht ist dies eindeutig nicht erforderlich. Kaufen Sie ein SSL-Zertifikat nur, wenn Sie, wie in der Antwort erwähnt, das Geld des Kunden einbeziehen.
Florian Margaine

3
@Florian: SE ist eine kaputte Website, wenn Sie nach persönlichen Daten gefragt werden, diese aber nicht verschlüsselt werden. Ein derart großes Standortnetzwerk, das sich insbesondere an Programmierer richtet, sollte es besser kennen. Für mich aber umleiten sie meine OpenID - Provider, die BTW tut Verwendung von SSL. Die Frage ist, ob es sich lohnt, diese Zerbrochenheit zu beheben. Und für eine Site wie SO, die keine persönlichen Daten enthält (abgesehen von Passwort und E-Mail-Adresse), haben sie vielleicht entschieden, dass dies nicht der Fall ist. Aber das ist eine Entscheidung, mit der man sich abfinden und leben muss, anstatt nur "Keine CC-Nummern? Dann schrauben Sie SSL" zu sagen.
CHAO

1
Ich wurde auch durch das Fehlen von SSL getäuscht, aber es stellte sich heraus, dass das Anmeldeformular tatsächlich in einen Iframe eingebettet ist, der eine https-Adresse aufruft.
Methodofaction

1
@FlorianMargaine - Google hat nachgewiesen, dass Ihre SSL-Ansprüche Ihre Website als Fehler verlangsamen.
Ramhound

-1

Das Löschen von etwas Geld auf einem Wildcard-SSL-Zertifikat ist möglicherweise die beste Option oder nicht. Schauen Sie sich den Caddy-Webserver an: https://caddyserver.com/ . Es hat viele nette Funktionen, insbesondere eine eingebaute Unterstützung für das Abrufen kostenloser Zertifikate von Let's Encrypt. Sie können einfach alle Ihre Domänen in der Konfigurationsdatei angeben, und es werden Zertifikate für sie abgerufen. Die andere wirklich coole Funktion ist On-Demand TLS. Wenn Sie diese Option aktivieren, wird beim ersten TLS-Handshake eine Anforderung für eine neue Domain abgerufen, für die es kein Zertifikat gibt .Das bedeutet, dass Sie buchstäblich Tausende von Domänen haben können und nicht jede einzelne in der Caddy-Konfiguration konfigurieren müssen.

Hinweis: So sehr meine Begeisterung auch scheinen mag, ich bin in keiner Weise, in keiner Form oder in keiner anderen Form mit Caddy verbunden, als ein begeisterter Benutzer ihres Produkts zu sein.


-4

Es geht nur um die Benutzer, sie bieten keinerlei Sicherheit, die Zertifikate sind nur zu verkaufende Produkte.

Vielleicht möchten Sie einen Blick darauf werfen

http://en.wikipedia.org/wiki/Comparison_of_SSL_certificates_for_web_servers


Ich glaube nicht, dass das, was du sagst, richtig ist. Ein Zertifikat bietet keine Sicherheit, aber es ist eine Identität, und in der Lage zu sein, Objekte zu identifizieren, ist die erste Sicherheitsstufe?
Ozair Kafray

identifizieren wer? Wie? Wenn Sie eine Firma mit dem Namen "Stuff" haben, kaufen Sie ein Zertifikat und werden als "Stuff" anerkannt. Wenn Sie sagen, dass Sie "zufällig" sind, werden Sie als "zufällig" erkannt. Glauben Sie, dass diese Leute ein minimales Interesse daran haben, Polizisten über das Internet zu sein?
user827992

Nein, aber wir haben kürzlich ein Zertifikat für unser Produkt vcred.com gekauft und geotrust hat 3 Monate gebraucht, um uns als ein Unternehmen zu verifizieren, das riksof.com heißt. Das ist für Pakistan, für andere Länder nehmen sie sich weniger Zeit, und das liegt daran, dass sie uns verifizieren. Ich denke, dass verisign auch einen strengen Überprüfungsprozess haben würde. Aus meiner Sicht verkaufen sie es also nicht nur als Produkt. Man kann auch selbst ein Zertifikat
erstellen

Diese Firma ist eine Ausnahme, es hängt auch davon ab, welche Art von Zertifikat Sie kaufen, aber am Ende können Sie einfach eine andere Person sein, und es ist nicht so schwer, das zu erreichen.
User827992

2
-1 Zertifikate geben Sicherheit. Das ist ihre Hauptfunktion.
Chris
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.