Qual a importância de um certificado SSL para um site?

Estou inicializando o meu próprio projeto, ele tem uma área de registro / login (via dispositivo com RoR, corretamente misturado e salgado, é claro). Como estou usando subdomínios e preciso acessá-los com iframes (é realmente justificado!), Precisaria de um desses certificados caros que cobrem subdomínios.

Como faço isso com meu próprio tempo e dinheiro, hesito em entregar algumas centenas em um certificado, além de algumas horas investigando algo que nunca havia experimentado antes. Não estou armazenando nenhuma informação confidencial além do endereço de e-mail e da senha. Pelo que entendi, a única vulnerabilidade ocorre quando um usuário faz logon ou se inscreve em uma rede não criptografada (como uma cafeteria) e alguém está ouvindo a rede.

Estou sendo barato? Isso é algo que devo abordar antes de liberar para a natureza. Eu provavelmente devo mencionar que tenho 25.000 usuários inscritos para serem notificados quando eu for lançado, por isso estou nervoso com isso.

Desde que essa pergunta foi feita, muita coisa mudou. Seu site precisa de HTTPS? SIM!

1. Certificados com validação de domínio são gratuitos para muitos provedores, por exemplo, vamos criptografar. Esses certificados são tão bons quanto aqueles pelos quais você paga dinheiro. Graças à identificação do nome do servidor, não é necessário possuir um endereço IP.

2. Os navegadores estão cada vez mais marcando páginas não HTTPS como inseguras e não neutras. Ter seu site marcado como inseguro não parece bom.

3. As modernas tecnologias da web exigem criptografia. Seja a política do Chrome de ativar apenas novos recursos para sites HTTPS, a classificação preferida do Google para sites HTTPS ou o HTTP / 2 criptografado sendo mais rápido que o HTTP / 1.1 em texto sem formatação , você está deixando oportunidades em aberto. Sim, a criptografia adiciona carga aos seus servidores, mas isso é imperceptível para a maioria dos sites - e particularmente imperceptível para os usuários.

4. A privacidade é mais importante do que nunca. Sejam os ISPs que vendem seu fluxo de cliques ou os serviços secretos analisando todas as suas conexões, não há um bom motivo para deixar visível qualquer comunicação publicamente. Use HTTPS por padrão e use apenas HTTP se tiver certeza de que qualquer informação transmitida pode ser pública com segurança e pode ser adulterada.

   Observe que as senhas não devem ser transmitidas por conexões de texto sem formatação.

   De acordo com alguns regulamentos, como o GDPR da UE, você deve implementar medidas de segurança de ponta, que geralmente incluem HTTPS para sites.

Existem algumas não soluções:

• "Usar OAuth em vez de senhas" perde o ponto de que ainda existem tokens semelhantes a senhas envolvidos. No mínimo, seus usuários terão um cookie de sessão que deve ser protegido, pois serve como uma senha temporária.

• Os certificados autoassinados são rejeitados pelos navegadores. É possível adicionar uma exceção, mas a maioria dos usuários não poderá fazer isso. Observe que apresentar um certificado autoassinado é indistinguível para o usuário de um ataque MITM usando um certificado inválido.

Portanto: os certificados são gratuitos e o HTTPS pode tornar seu site mais rápido. Não há mais nenhuma desculpa válida. Próximas etapas: leia este guia sobre a migração para HTTPS .

Eu compraria um. O custo do certificado não é tão grande, considerado o nível de confiança que ele fornece aos usuários. Pense nisso como um investimento. Se seus aplicativos não parecerem seguros (e os certificados SSL assinados corretamente assumirem que um site é seguro), as pessoas podem perder o interesse em usar seus futuros produtos.

Se você está "apenas" reunindo e-mails e senhas, talvez queira criar seu próprio certificado OpenSSL (http://www.openssl.org/) antes de comprometer qualquer dinheiro.

Mas...

Isso é apenas algo que você pode fazer para "experimentar", porque os usuários do site receberão um conflito, pois esse não será um certificado reconhecido / aceito.

Meu conselho é investir em SSL, simplesmente porque e-mail e senhas são dados privados muito sensíveis que podem levar a outros tipos de exposições (digamos, eu uso o mesmo passe para minha conta de e-mail - se essas informações vazarem, todos os e-mails os dados são expostos, incluindo dados de CC, toda e qualquer informação de acesso que possuo para outros serviços online e só Deus sabe o que mais ...)

Precisamos de uma Web segura e confiável e algumas dezenas de dólares é um preço pequeno a pagar pela segurança do usuário. (mesmo que básico como SSL)

Preocupações com segurança

Pelo que entendi, a única vulnerabilidade ocorre quando um usuário faz logon ou se inscreve em uma rede não criptografada (como uma cafeteria) e alguém está ouvindo a rede.

Isso não é verdade, os dados transmitidos entre o usuário e seu site nunca são seguros. Apenas como exemplo, http://www.pcmag.com/article2/0,2817,2406837,00.asp detalha a história de um vírus que alterou as configurações de DNS das pessoas. Não importa o quão boa sua rede atual esteja protegida, qualquer envio na Internet passa por muitos servidores diferentes antes de chegar ao seu. Qualquer um deles pode ser malicioso.

Os certificados SSL permitem criptografar seus dados de uma maneira que só pode ser descriptografada no servidor. Portanto, não importa onde os dados estejam no caminho para o servidor, ninguém mais poderá ler os dados.

Na maioria dos casos, e isso depende da sua hospedagem, a instalação de um certificado é bastante simples. A maioria dos provedores o instalará para você.

Tipos de Certificados SSL

Conforme observado em algumas respostas, você pode criar seus próprios certificados SSL. Um certificado SSL é apenas um emparelhamento de chave pública e privada. Seu servidor fornece a chave pública, o cliente a usa para criptografar os dados que está enviando e apenas a chave privada do servidor pode descriptografá-la. O OpenSSL é uma boa ferramenta para criar seus próprios.

Certificados SSL assinados

A compra de um certificado de uma autoridade de certificação adiciona outro nível de segurança e confiança. Novamente, é possível que alguém possa se sentar entre o navegador do cliente e o servidor da web. Eles simplesmente precisariam dar ao cliente sua própria chave pública, descriptografar as informações com sua chave privada, criptografá-las novamente com sua chave pública e passá-las para você e nem o usuário nem você saberia.

Quando um certificado assinado é recebido pelo usuário, o navegador se conecta ao provedor de autenticação (Verisign etc.) para validar que a chave pública que eles receberam é de fato a do seu site e que não houve adulteração.

Portanto, sim, você deve ter um certificado SSL assinado para o seu site. Isso faz com que você pareça mais profissional, oferece aos usuários mais tranqüilidade ao usar seu site e, o mais importante, protege você contra roubo de dados.

Mais informações sobre o ataque Man In The Middle, que é o cerne da questão aqui. http://en.wikipedia.org/wiki/Man-in-the-middle_attack

As senhas devem ser tratadas como informações pessoais - francamente, devido à reutilização de senha, provavelmente é mais sensível que um SSN.

Dado isso e sua descrição, pergunto-me por que você está armazenando uma senha ...

Eu usaria o OpenID e se você sentir a necessidade de ter seu próprio login, crie um único subdomínio para isso e use o OpenID em qualquer outro lugar.

Se você não fizer o OpenID, ainda poderá usar o mesmo padrão de login.seudominio para não precisar de um certificado curinga, mas, como eu disse, no mundo de hoje as senhas são pelo menos tão sensíveis quanto o SSN / aniversário, não o colete se você não precisar.

O RapidSSL através do Trustico custa apenas US $ 30 ou você pode obter um curinga do RapidSSL por menos de US $ 160 - eles também têm uma garantia de preço; portanto, se você achar que é mais barato, eles serão compatíveis.

Se você tiver um IP exclusivo, poderá obter um certificado, principalmente se lidar com dados que sejam remotamente confidenciais. Como você pode obter certificados confiáveis ​​gratuitos do StartSSL , não há realmente nenhuma razão para não ter um.

Seria sensato comprar um. Como mencionado, é ALL about end user trustpara o seu site.

so I'm hesitant to drop a couple of hundreds on a certificate - bem, não é caro e você pode receber menos de US $ 50.

SSL - é realmente importante para proteger seu site e adicionar um nível de confiança aos visitantes. Em relação ao processo de login, por que NÃO usar o OAuth ? Esse recurso ignorará o aborrecimento do usuário em dedicar um tempo ao registro do seu site. O tráfego de usuários do site realmente se beneficiará disso. Sério !, encontre tempo para pesquisá-lo .

Uma boa referência para perguntas comuns sobre SSL - Tudo sobre certificados SSL

Eu também pensaria em usar um provedor de terceiros para o login (por exemplo, openid). A maioria dos CMS já o suporta.

Um SSL tem desvantagens. Retarda o seu site. Realmente.

A única razão pela qual as pessoas estão usando certificados SSL é quando há o dinheiro dos clientes envolvidos.

Se você não envolve o dinheiro de seus clientes, a decisão de tomar um certificado SSL é puramente orientada para os negócios.

Se você está recebendo um back-end para seus clientes, sem dinheiro envolvido no site, mas eles precisam ter certeza de que são seguros, faça um certificado. É um investimento para a confiança de seus clientes.

Deixar dinheiro em um certificado SSL curinga pode ser a melhor opção ou não. Dê uma olhada no servidor da web Caddy: https://caddyserver.com/ . Ele possui muitos recursos interessantes, como suporte embutido para obter certificados gratuitos do Let's Encrypt. Você pode apenas especificar todos os seus domínios em seu arquivo de configuração e ele irá obter certs para eles. O outro recurso realmente interessante é o TLS On Demand. Se você ativá-lo, sempre que receber uma solicitação de um novo domínio para o qual não possui um certificado, ele pegará um durante o handshake TLS inicial. Isso significa que você pode ter literalmente milhares de domínios e não precisa configurar cada um na configuração do Caddy.

Nota: Por mais que pareça meu entusiasmo, não estou aflito com o Caddy de nenhuma maneira, forma ou forma, além de ser um usuário ávido de seu produto.

É tudo sobre os usuários, eles não oferecem nenhum tipo de segurança, os certificados são apenas produtos para vender.

Você pode dar uma olhada neste

http://en.wikipedia.org/wiki/Comparison_of_SSL_certificates_for_web_servers