Quão importante é um certificado SSL para um site?

14

Eu estou inicializando meu próprio projeto, ele tem uma área de registro / login (via legenda com RoR, corretamente hashed e salgado, é claro). Como estou usando subdomínios e preciso acessá-los com iframes (é justificado, realmente!), Eu precisaria de um desses certificados caros que cobrem subdomínios.

Como estou fazendo isso com meu próprio tempo e dinheiro, estou hesitante em gastar algumas centenas em um certificado, além de algumas horas investigando algo que não tentei antes. Não estou armazenando nenhuma informação confidencial além do endereço de e-mail e da senha. Tanto quanto eu entendo, a única vulnerabilidade acontece quando um usuário registra ou se inscreve em uma rede não criptografada (como um café) e alguém está ouvindo a rede.

Estou sendo barato? Isso é algo que eu deveria abordar antes de liberar na natureza? Eu provavelmente devo mencionar que tenho 25.000 usuários cadastrados para serem notificados quando eu inicio, então estou nervosa sobre isso.

    
por Duopixel 18.07.2012 / 10:28
fonte

12 respostas

4

Desde que essa pergunta foi feita, muita coisa mudou. Seu site precisa de HTTPS? SIM!

  1. Certificados com validação de domínio são gratuitos de muitos provedores, por exemplo Vamos criptografar. Esses certificados são tão bons quanto aqueles pelos quais você paga dinheiro. Graças à identificação do nome do servidor, não é necessário possuir um endereço IP.

  2. Os navegadores estão cada vez marcando páginas não HTTPS como inseguras , em vez de neutro. Ter seu site marcado como inseguro não parece bom.

  3. As tecnologias da Web modernas exigem criptografia. Seja a política do Chrome de ativar apenas novos recursos para sites HTTPS, a classificação preferida do Google para sites HTTPS , ou HTTP / 2 criptografado sendo mais rápido do HTTP / 1.1 de texto simples , você está deixando oportunidades na tabela. Sim, a criptografia adiciona carga aos seus servidores, mas isso é imperceptível para a maioria dos sites - e particularmente imperceptível para os usuários.

  4. A privacidade é mais importante do que nunca. Quer sejam ISPs vendendo seu fluxo de cliques ou serviços secretos peneirando todas as suas conexões, não há uma boa razão para deixar qualquer comunicação visível publicamente. Use HTTPS por padrão e use apenas HTTP se tiver certeza de que qualquer informação transmitida pode ser pública com segurança e pode ser adulterada.

    Observe que as senhas não devem ser transmitidas por conexões de texto simples.

    Sob algumas regulamentações, como o EU-GDPR, você deve implementar medidas de segurança de última geração, que geralmente incluem HTTPS para sites.

Existem algumas não soluções:

  • "Use OAuth em vez de senhas" não faz sentido que ainda haja tokens de senha envolvidos. No mínimo, seus usuários terão um cookie de sessão que deve ser protegido, pois ele serve como uma senha temporária.

  • Certificados autoassinados são rejeitados pelos navegadores. É possível adicionar uma exceção, mas a maioria dos usuários não poderá fazer isso. Observe que apresentar um certificado auto-assinado é indistinguível para o usuário de um ataque MITM usando um certificado inválido.

Portanto: os certificados são gratuitos e o HTTPS pode tornar seu site mais rápido. Não há mais desculpa válida. Próximas etapas: leia este guia sobre como migrar para HTTPS .

    
por 17.04.2018 / 00:03
fonte
23

Eu compraria um. O custo do certificado não é tão grande considerando o nível de confiança que ele fornece aos usuários. Pense nisso como um investimento. Se os seus aplicativos não parecem seguros (e os certificados SSL devidamente assinados pressupõem que um site é seguro), as pessoas podem perder o interesse em usar seus produtos futuros.

    
por 18.07.2012 / 10:47
fonte
5

Se você está "apenas" reunindo e-mails e senhas, talvez queira tentar criar seu próprio certificado OpenSSL (http://www.openssl.org/) antes de cometer quaisquer fundos.

Mas ...

Isso é algo que você pode fazer para "testar as coisas" porque os usuários do site ficarão em guerra, pois isso não será um certificado reconhecido / aceito.

Meu conselho é investir em SSL, simplesmente porque e-mails e senhas são dados confidenciais muito sensíveis que podem levar a outros tipos de exposição (digamos que eu use o mesmo passe para minha conta de e-mail - se essa informação vazar, então os dados de e-mail são expostos, incluindo dados de CC, toda e qualquer informação de acesso que eu tenho para outros serviços online e só Deus sabe o que mais ...)

Precisamos de uma WEB segura e confiável e algumas dúzias de dólares são um pequeno preço a pagar pela segurança do usuário. (mesmo tão básico quanto o SSL)

    
por 18.07.2012 / 13:47
fonte
5

Preocupações de segurança

As far as I understand, the only vulnerability happens when a user logs or signs up from an unencrypted network (such as a coffee shop) and someone is listening the network.

Isso não é verdade, os dados transmitidos entre o usuário e seu site nunca são seguros. Apenas como exemplo, o link detalha a história de um vírus que alterou as configurações de DNS das pessoas. Não importa quão boa sua rede atual esteja protegida, qualquer envio na Internet passa por muitos servidores diferentes antes de chegar ao seu. Qualquer um deles pode ser malicioso.

Os certificados SSL permitem que você criptografe seus dados em uma criptografia unidirecional que só pode ser descriptografada em seu servidor. Portanto, não importa onde os dados estejam no caminho para o seu servidor, ninguém mais poderá ler os dados.

Na maioria dos casos, e isso depende da sua hospedagem, a instalação de um certificado é bastante indolor. A maioria dos provedores irá instalá-lo para você.

Tipos de certificados SSL

Como observado em algumas respostas, você pode criar seus próprios certificados SSL. Um certificado SSL é apenas um par de chaves pública e privada. Seu servidor distribui a chave pública, o cliente a usa para criptografar os dados que está enviando e somente a chave privada em seu servidor pode descriptografá-la. O OpenSSL é uma boa ferramenta para criar o seu próprio.

Certificados SSL assinados

A compra de um certificado de uma autoridade de certificação adiciona outro nível de segurança e confiança. Novamente, é possível que alguém possa se sentar entre o navegador do cliente e seu servidor da web. Eles simplesmente precisariam dar ao cliente sua própria chave pública, descriptografar a informação com sua chave privada, criptografá-la novamente com sua chave pública e passá-la para você e nem o usuário nem você saberiam.

Quando um Certificado assinado é recebido pelo usuário, o navegador se conecta ao provedor de autenticação (Verisign, etc.) para validar que a chave pública que recebeu é na verdade a do seu site e que não houve adulteração .

Então, sim, você deve ter um certificado SSL assinado para o seu site. Isso faz você parecer mais profissional, dá mais tranquilidade aos seus usuários ao usar seu site e, o mais importante, protege você contra o roubo de dados.

Mais informações sobre o ataque Man In The Middle, que é o cerne da questão aqui. link

    
por 18.07.2012 / 16:41
fonte
2

Passworrds devem ser tratadas como informações pessoais - francamente, a reutilização de senhas é provavelmente mais sensível que um SSN.

Considerando isso e sua descrição, eu me pergunto por que você está armazenando uma senha ...

Eu usaria o OpenID e se você sentir a necessidade de ter seu próprio login, crie um único subdomínio para ele e use o OpenID em qualquer lugar.

Se você não fizer o OpenID, ainda poderá usar o mesmo padrão login.yourdomain para não precisar de um certificado curinga, mas, como eu disse, no mundo de hoje as senhas estão menos como sensíveis como SSN / aniversário, não o colecione se você não precisa.

    
por 18.07.2012 / 17:35
fonte
1
O RapidSSL através do Trustico é de apenas US $ 30 ou você pode obter um curinga RapidSSL por menos de US $ 160 - eles também têm uma garantia de preço, então se você achar mais barato, eles o igualarão.

    
por 19.07.2012 / 02:12
fonte
1

Se você tiver um IP exclusivo, é melhor receber um certificado, principalmente se lidar com dados que sejam remotamente sensíveis. Como você pode obter certificados confiáveis gratuitos do StartSSL , não há motivo para não ter um.

    
por 19.07.2012 / 05:08
fonte
1

Seria sensato comprar um. Como mencionado, é ALL about end user trust para o seu site.

so I'm hesitant to drop a couple of hundreds on a certificate - bem, não é caro e você pode receber um abaixo de $ 50.

SSL - é realmente importante para proteger seu site e adicionar um nível de confiança aos visitantes em seu site. Em relação ao processo de login, por que NÃO usar OAuth ? Esse recurso irá pular o incômodo do usuário para gastar tempo no registro do seu site. O tráfego de usuários do site realmente se beneficiará disso. Sério !, encontre algum tempo para pesquisá-lo .

Uma boa referência sobre perguntas comuns sobre SSL - Tudo sobre Certificados SSL

    
por 18.07.2012 / 11:53
fonte
0

Eu também penso em usar um provedor de terceiros para o login (por exemplo, openid). A maioria dos CMS já suporta isso.

    
por 18.07.2012 / 15:57
fonte
-1

Um SSL tem desvantagens. Isso atrasa seu site. Realmente.

A única razão pela qual as pessoas estão usando certificados SSL é quando há o dinheiro dos clientes envolvido.

Se você não está envolvendo o dinheiro de seus clientes, a decisão de obter um certificado SSL é puramente orientada para os negócios.

Se você está tendo um back-end para seus clientes, sem dinheiro envolvido no site, mas eles precisam ter certeza de que estão seguros, então certifique-se de receber um certificado. É um investimento para a confiança de seus clientes.

    
por 18.07.2012 / 14:52
fonte
-1

Adicionar dinheiro em um certificado SSL curinga pode ser a melhor opção ou não. Dê uma olhada no servidor da Web da Caddy: link . Ele tem muitos recursos interessantes, especialmente criados para suportar certificados gratuitos do Let's Encrypt. Você pode simplesmente especificar todos os seus domínios em seu arquivo de configuração e ele irá pegar certs para eles. O outro recurso realmente interessante é o TLS On-Demand. Se você ativá-lo, sempre que receber uma solicitação para um novo domínio, ele não tem um certificado, ele pega um durante o handshake TLS inicial. Isso significa que você pode ter literalmente milhares de domínios e não tem que configurar cada individual na configuração do Caddy.

Nota: Por mais que meu entusiasmo possa parecer, eu não sou afeiçoado com Caddy de qualquer maneira, forma ou forma, além de ser um usuário ávido de seu produto.

    
por 11.04.2018 / 20:59
fonte
-4

É tudo sobre os usuários, eles não fornecem nenhum tipo de segurança, os certificados são apenas produtos para vender.

Você pode querer dar uma olhada nisso

link

    
por 18.07.2012 / 12:26
fonte

Tags