Qual a importância de um certificado SSL para um site?


14

Estou inicializando o meu próprio projeto, ele tem uma área de registro / login (via dispositivo com RoR, corretamente misturado e salgado, é claro). Como estou usando subdomínios e preciso acessá-los com iframes (é realmente justificado!), Precisaria de um desses certificados caros que cobrem subdomínios.

Como faço isso com meu próprio tempo e dinheiro, hesito em entregar algumas centenas em um certificado, além de algumas horas investigando algo que nunca havia experimentado antes. Não estou armazenando nenhuma informação confidencial além do endereço de e-mail e da senha. Pelo que entendi, a única vulnerabilidade ocorre quando um usuário faz logon ou se inscreve em uma rede não criptografada (como uma cafeteria) e alguém está ouvindo a rede.

Estou sendo barato? Isso é algo que devo abordar antes de liberar para a natureza. Eu provavelmente devo mencionar que tenho 25.000 usuários inscritos para serem notificados quando eu for lançado, por isso estou nervoso com isso.


1
Porque ele precisa de um certificado curinga para cobrir seus subdomínios.
Pritaeas

1
Mas os subdomínios são realmente necessários? É possível colocar algum tipo de proxy (seguro) na frente de todos para fazer com que pareça um único site?
Donal Fellows

3
Se você tem 25.000 usuários aguardando seu lançamento, gastar algumas centenas de dólares não deve ser um problema.
Marco-fiset

2
Apesar de muitas respostas e comentários, um certificado SSL assinado é uma parte essencial da segurança dos dados em seu site. Qualquer coisa que o usuário veja ou envie pode ser espionado se você não tiver um, independentemente de onde ele se conecte.
18712 Chris

2
@RyanKinal Uhh ... aqueles realmente funcionam e validam corretamente em navegadores padrão? Gostaria de pensou qualquer CA que certs oferecido gratuitamente teria a sua chave de assinatura na lista negra
TheLQ

Respostas:


5

Desde que essa pergunta foi feita, muita coisa mudou. Seu site precisa de HTTPS? SIM!

  1. Certificados com validação de domínio são gratuitos para muitos provedores, por exemplo, vamos criptografar. Esses certificados são tão bons quanto aqueles pelos quais você paga dinheiro. Graças à identificação do nome do servidor, não é necessário possuir um endereço IP.

  2. Os navegadores estão cada vez mais marcando páginas não HTTPS como inseguras e não neutras. Ter seu site marcado como inseguro não parece bom.

  3. As modernas tecnologias da web exigem criptografia. Seja a política do Chrome de ativar apenas novos recursos para sites HTTPS, a classificação preferida do Google para sites HTTPS ou o HTTP / 2 criptografado sendo mais rápido que o HTTP / 1.1 em texto sem formatação , você está deixando oportunidades em aberto. Sim, a criptografia adiciona carga aos seus servidores, mas isso é imperceptível para a maioria dos sites - e particularmente imperceptível para os usuários.

  4. A privacidade é mais importante do que nunca. Sejam os ISPs que vendem seu fluxo de cliques ou os serviços secretos analisando todas as suas conexões, não há um bom motivo para deixar visível qualquer comunicação publicamente. Use HTTPS por padrão e use apenas HTTP se tiver certeza de que qualquer informação transmitida pode ser pública com segurança e pode ser adulterada.

    Observe que as senhas não devem ser transmitidas por conexões de texto sem formatação.

    De acordo com alguns regulamentos, como o GDPR da UE, você deve implementar medidas de segurança de ponta, que geralmente incluem HTTPS para sites.

Existem algumas não soluções:

  • "Usar OAuth em vez de senhas" perde o ponto de que ainda existem tokens semelhantes a senhas envolvidos. No mínimo, seus usuários terão um cookie de sessão que deve ser protegido, pois serve como uma senha temporária.

  • Os certificados autoassinados são rejeitados pelos navegadores. É possível adicionar uma exceção, mas a maioria dos usuários não poderá fazer isso. Observe que apresentar um certificado autoassinado é indistinguível para o usuário de um ataque MITM usando um certificado inválido.

Portanto: os certificados são gratuitos e o HTTPS pode tornar seu site mais rápido. Não há mais nenhuma desculpa válida. Próximas etapas: leia este guia sobre a migração para HTTPS .


Concordo que atualmente a tendência é https seu site, mesmo que você não esteja lidando com o registro do usuário e outros, por causa dos benefícios mencionados. Estou selecionando esta como a resposta correta.
methodofaction

1
Além disso, o HTTPS não apenas traz privacidade, mas também integridade. Devido à criptografia, você também pode ter certeza que os dados do usuário recebidas na verdade é aquele que foi enviado e não foi modificado por alguém no caminho
Johannes

24

Eu compraria um. O custo do certificado não é tão grande, considerado o nível de confiança que ele fornece aos usuários. Pense nisso como um investimento. Se seus aplicativos não parecerem seguros (e os certificados SSL assinados corretamente assumirem que um site é seguro), as pessoas podem perder o interesse em usar seus futuros produtos.


1
SSL global é uma 'sensação boa' para pessoas não-tech
Jakub

e, por outro lado: não SSL é um 'sinto muito mal e suspeito' para o usuário típico
Andrzej Bobak

Somente certificados assinados podem fornecer confiança. Ainda é possível ter dados roubados sem um certificado assinado. Os ataques intermediários ainda funcionam, fornecendo um certificado falso ao cliente.
18712 Chris

Obrigado pelos ponteiros, o consenso geral parece apontar que um SSL não é algo que eu deveria procurar. Eu instalei um certificado livre de startssl e vai comprar o curinga quando eu realmente lançar method.ac
methodofaction

5

Se você está "apenas" reunindo e-mails e senhas, talvez queira criar seu próprio certificado OpenSSL (http://www.openssl.org/) antes de comprometer qualquer dinheiro.

Mas...

Isso é apenas algo que você pode fazer para "experimentar", porque os usuários do site receberão um conflito, pois esse não será um certificado reconhecido / aceito.

Meu conselho é investir em SSL, simplesmente porque e-mail e senhas são dados privados muito sensíveis que podem levar a outros tipos de exposições (digamos, eu uso o mesmo passe para minha conta de e-mail - se essas informações vazarem, todos os e-mails os dados são expostos, incluindo dados de CC, toda e qualquer informação de acesso que possuo para outros serviços online e só Deus sabe o que mais ...)

Precisamos de uma Web segura e confiável e algumas dezenas de dólares é um preço pequeno a pagar pela segurança do usuário. (mesmo que básico como SSL)


5

Preocupações com segurança

Pelo que entendi, a única vulnerabilidade ocorre quando um usuário faz logon ou se inscreve em uma rede não criptografada (como uma cafeteria) e alguém está ouvindo a rede.

Isso não é verdade, os dados transmitidos entre o usuário e seu site nunca são seguros. Apenas como exemplo, http://www.pcmag.com/article2/0,2817,2406837,00.asp detalha a história de um vírus que alterou as configurações de DNS das pessoas. Não importa o quão boa sua rede atual esteja protegida, qualquer envio na Internet passa por muitos servidores diferentes antes de chegar ao seu. Qualquer um deles pode ser malicioso.

Os certificados SSL permitem criptografar seus dados de uma maneira que só pode ser descriptografada no servidor. Portanto, não importa onde os dados estejam no caminho para o servidor, ninguém mais poderá ler os dados.

Na maioria dos casos, e isso depende da sua hospedagem, a instalação de um certificado é bastante simples. A maioria dos provedores o instalará para você.

Tipos de Certificados SSL

Conforme observado em algumas respostas, você pode criar seus próprios certificados SSL. Um certificado SSL é apenas um emparelhamento de chave pública e privada. Seu servidor fornece a chave pública, o cliente a usa para criptografar os dados que está enviando e apenas a chave privada do servidor pode descriptografá-la. O OpenSSL é uma boa ferramenta para criar seus próprios.

Certificados SSL assinados

A compra de um certificado de uma autoridade de certificação adiciona outro nível de segurança e confiança. Novamente, é possível que alguém possa se sentar entre o navegador do cliente e o servidor da web. Eles simplesmente precisariam dar ao cliente sua própria chave pública, descriptografar as informações com sua chave privada, criptografá-las novamente com sua chave pública e passá-las para você e nem o usuário nem você saberia.

Quando um certificado assinado é recebido pelo usuário, o navegador se conecta ao provedor de autenticação (Verisign etc.) para validar que a chave pública que eles receberam é de fato a do seu site e que não houve adulteração.

Portanto, sim, você deve ter um certificado SSL assinado para o seu site. Isso faz com que você pareça mais profissional, oferece aos usuários mais tranqüilidade ao usar seu site e, o mais importante, protege você contra roubo de dados.

Mais informações sobre o ataque Man In The Middle, que é o cerne da questão aqui. http://en.wikipedia.org/wiki/Man-in-the-middle_attack


2

As senhas devem ser tratadas como informações pessoais - francamente, devido à reutilização de senha, provavelmente é mais sensível que um SSN.

Dado isso e sua descrição, pergunto-me por que você está armazenando uma senha ...

Eu usaria o OpenID e se você sentir a necessidade de ter seu próprio login, crie um único subdomínio para isso e use o OpenID em qualquer outro lugar.

Se você não fizer o OpenID, ainda poderá usar o mesmo padrão de login.seudominio para não precisar de um certificado curinga, mas, como eu disse, no mundo de hoje as senhas são pelo menos tão sensíveis quanto o SSN / aniversário, não o colete se você não precisar.


1

O RapidSSL através do Trustico custa apenas US $ 30 ou você pode obter um curinga do RapidSSL por menos de US $ 160 - eles também têm uma garantia de preço; portanto, se você achar que é mais barato, eles serão compatíveis.


1

Se você tiver um IP exclusivo, poderá obter um certificado, principalmente se lidar com dados que sejam remotamente confidenciais. Como você pode obter certificados confiáveis ​​gratuitos do StartSSL , não há realmente nenhuma razão para não ter um.


1

Seria sensato comprar um. Como mencionado, é ALL about end user trustpara o seu site.

so I'm hesitant to drop a couple of hundreds on a certificate - bem, não é caro e você pode receber menos de US $ 50.

SSL - é realmente importante para proteger seu site e adicionar um nível de confiança aos visitantes. Em relação ao processo de login, por que NÃO usar o OAuth ? Esse recurso ignorará o aborrecimento do usuário em dedicar um tempo ao registro do seu site. O tráfego de usuários do site realmente se beneficiará disso. Sério !, encontre tempo para pesquisá-lo .

Uma boa referência para perguntas comuns sobre SSL - Tudo sobre certificados SSL


0

Eu também pensaria em usar um provedor de terceiros para o login (por exemplo, openid). A maioria dos CMS já o suporta.


-1

Um SSL tem desvantagens. Retarda o seu site. Realmente.

A única razão pela qual as pessoas estão usando certificados SSL é quando há o dinheiro dos clientes envolvidos.

Se você não envolve o dinheiro de seus clientes, a decisão de tomar um certificado SSL é puramente orientada para os negócios.

Se você está recebendo um back-end para seus clientes, sem dinheiro envolvido no site, mas eles precisam ter certeza de que são seguros, faça um certificado. É um investimento para a confiança de seus clientes.


3
-1: você SEMPRE deve usar um certificado SSL quando seus usuários enviarem dados confidenciais, como senhas, para registro e login. Não apenas quando há dinheiro envolvido.
Marco-fiset 18/07/12

2
Discordo. Do ponto de vista comercial, claramente não é necessário. Compre um certificado SSL apenas se, como dito na resposta, você envolver o dinheiro dos clientes.
Florian Margaine

3
@Florian: SE é um site danificado , se solicitar informações pessoais, mas não criptografá-las. Uma rede de sites tão grande, principalmente direcionada a programadores, deveria conhecer melhor. Para mim, porém, eles redirecionar para meu provedor de OpenID, que BTW faz uso SSL. A questão é se vale a pena consertar esse defeito. E para um site como o SO que realmente não possui informações pessoais (além da senha e do endereço de e-mail), talvez eles tenham decidido que não. Mas essa é uma decisão que deve ser tomada e vivida, em vez de apenas dizer "sem números de CC? E depois estragar o SSL".
cHao 18/07/12

1
Eu também fui enganado pela falta de SSL, mas o formulário de inscrição está realmente incorporado em um iframe que chama um endereço https.
methodofaction

1
@FlorianMargaine - O Google provou que suas reivindicações de SSL tornam o site mais lento como falha.
Ramhound 19/07/12

-1

Deixar dinheiro em um certificado SSL curinga pode ser a melhor opção ou não. Dê uma olhada no servidor da web Caddy: https://caddyserver.com/ . Ele possui muitos recursos interessantes, como suporte embutido para obter certificados gratuitos do Let's Encrypt. Você pode apenas especificar todos os seus domínios em seu arquivo de configuração e ele irá obter certs para eles. O outro recurso realmente interessante é o TLS On Demand. Se você ativá-lo, sempre que receber uma solicitação de um novo domínio para o qual não possui um certificado, ele pegará um durante o handshake TLS inicial. Isso significa que você pode ter literalmente milhares de domínios e não precisa configurar cada um na configuração do Caddy.

Nota: Por mais que pareça meu entusiasmo, não estou aflito com o Caddy de nenhuma maneira, forma ou forma, além de ser um usuário ávido de seu produto.


-4

É tudo sobre os usuários, eles não oferecem nenhum tipo de segurança, os certificados são apenas produtos para vender.

Você pode dar uma olhada neste

http://en.wikipedia.org/wiki/Comparison_of_SSL_certificates_for_web_servers


Eu não acho que o que você está dizendo está certo. Um certificado não fornece segurança, mas é uma identidade e ser capaz de identificar objetos é o primeiro nível de segurança?
Ozair Kafray

identificar quem? como? se você possui uma empresa chamada "Coisas", compra um certificado e é reconhecido como "Coisas", ponto final. se você diz que é "Aleatório", é reconhecido como "Aleatório"; você acha que esse pessoal tem um interesse mínimo em ser policial pela internet?
user827992

Não, mas compramos recentemente um certificado para o nosso produto vcred.com e, a geotrust levou três meses para nos confirmar como uma empresa que é riksof.com. Isso é para o Paquistão, para outros países eles levam menos tempo e é porque eles nos verificam. Acho que a Verisign também teria um processo de verificação rigoroso. Então, eles não estão vendendo apenas como um produto na minha opinião. Pode-se gerar um certificado-se também e, em seguida, a ausência de CA é facilmente identificado
Ozair Kafray

essa empresa é uma exceção, também depende do tipo de certificado que você está comprando, mas no final você pode ser apenas outra pessoa e não é tão difícil conseguir isso.
user827992

2
-1 Certificados fornecem segurança. Essa é a função principal deles.
18712 Chris
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.