¿Qué tan importante es un certificado SSL para un sitio web?

14

Estoy iniciando mi propio proyecto, tiene un área de registro / inicio de sesión (a través de un dispositivo con RoR, correctamente picado y salado, por supuesto). Como uso subdominios y necesito acceder a ellos con iframes (¡en realidad está justificado!) Necesitaría uno de esos certificados costosos que cubren subdominios.

Como hago esto por mi propio tiempo y dinero, tengo dudas de dejar caer un par de cientos en un certificado, más un par de horas ahondando en algo que no he probado antes. No estoy almacenando ninguna información confidencial además de la dirección de correo electrónico y la contraseña. Según tengo entendido, la única vulnerabilidad ocurre cuando un usuario inicia sesión o se registra desde una red no cifrada (como una cafetería) y alguien está escuchando la red.

¿Estoy siendo barato? ¿Es esto algo que debería abordar antes de lanzarlo a la naturaleza? Probablemente debería mencionar que tengo 25,000 usuarios registrados para recibir una notificación cuando lo inicie, por lo que estoy nervioso por eso.

    
pregunta Duopixel 18.07.2012 - 10:28
fuente

12 respuestas

4

Desde que se hizo esta pregunta, muchas cosas han cambiado. ¿Su sitio necesita HTTPS? ¡SÍ!

  1. Los certificados con validación de dominio son gratuitos de muchos proveedores, por ejemplo. Vamos a cifrar. Estos certificados son tan buenos como aquellos por los que paga dinero. Gracias a la identificación del nombre del servidor, no es necesario poseer una dirección IP.

  2. Cada vez más los navegadores marcan las páginas que no son HTTPS como inseguras , en lugar de neutral. Tener su sitio marcado como inseguro no se ve bien.

  3. Las tecnologías web modernas requieren cifrado. Ya sea la política de Chrome de solo habilitar nuevas funciones para los sitios HTTPS, la clasificación preferida de Google para sitios HTTPS , o HTTP / 2 cifrado siendo más rápido que en texto simple HTTP / 1.1 , está dejando oportunidades en la tabla. Sí, el cifrado agrega carga a sus servidores, pero esto es imperceptible para la mayoría de los sitios, y particularmente para los usuarios.

  4. La privacidad es más importante que nunca. Ya sea que los ISP vendan su flujo de clics o los servicios secretos que revisan todas sus conexiones, no hay una buena razón para dejar una comunicación pública visible. Use HTTPS de forma predeterminada, y solo use HTTP si está seguro de que la información transmitida puede ser pública y puede ser manipulada indebidamente.

    Tenga en cuenta que las contraseñas no deben transmitirse a través de conexiones de texto plano.

    Bajo algunas regulaciones, como el EU-GDPR, se requiere que implemente medidas de seguridad de vanguardia, que generalmente incluyen HTTPS para sitios web.

Hay un par de no soluciones:

  • "Usar OAuth en lugar de contraseñas" no tiene en cuenta que todavía hay tokens similares a contraseñas involucrados. Como mínimo, sus usuarios tendrán una cookie de sesión que debe estar protegida, ya que sirve como una contraseña temporal.

  • Los certificados autofirmados son rechazados por los navegadores. Es posible agregar una excepción, pero la mayoría de los usuarios no podrán hacerlo. Tenga en cuenta que presentar un certificado autofirmado es indistinguible para el usuario de un ataque MITM que utiliza un certificado no válido.

Por lo tanto: los certificados son gratuitos y HTTPS puede hacer que su sitio sea más rápido. Ya no hay ninguna excusa válida. Próximos pasos: lea esta guía sobre la migración a HTTPS .

    
respondido por el amon 17.04.2018 - 00:03
fuente
23

Me gustaría comprar uno. El costo del certificado no es tan grande como el nivel de confianza que proporciona a los usuarios. Piensa en ello como una inversión. Si sus aplicaciones no parecen ser seguras (y los certificados SSL firmados correctamente suponen que un sitio web es seguro), las personas pueden perder interés en usar sus productos futuros.

    
respondido por el Andrzej Bobak 18.07.2012 - 10:47
fuente
5

Si está "solo" reuniendo correos electrónicos y contraseñas, tal vez quiera intentar crear su propio certificado OpenSSL (http://www.openssl.org/) antes de enviar fondos.

Pero ...

Esto es solo algo que puedes hacer para "probar cosas" porque los usuarios del sitio web obtendrán una garantía, ya que no será un certificado reconocido / aceptado.

Mi consejo es invertir en SSL, simplemente porque el correo electrónico y las contraseñas son datos privados muy confidenciales que pueden conducir a otro tipo de exposiciones (digamos que uso el mismo pase para mi cuenta de correo electrónico; si esta información se filtra, entonces todo los datos de correo electrónico están expuestos, incluidos los datos de CC, toda la información de acceso que tengo para otros servicios en línea y Dios sabe qué más ...)

Necesitamos una WEB segura y confiable, y unas pocas docenas de dólares es un precio pequeño para pagar por la seguridad del usuario. (incluso tan básico como SSL)

    
respondido por el Igal Zeifman 18.07.2012 - 13:47
fuente
5

Problemas de seguridad

  

Según tengo entendido, la única vulnerabilidad ocurre cuando un usuario   registra o se registra desde una red sin cifrar (como una cafetería)   y alguien está escuchando la red.

Esto no es cierto, los datos transmitidos entre el usuario y su sitio web nunca son seguros. A modo de ejemplo, enlace detalla la historia de un virus que cambió la configuración de DNS de las personas. No importa qué tan buena esté protegida su red actual, cualquier envío en Internet pasa por muchos servidores diferentes antes de que llegue a la suya. Cualquiera de ellos puede ser malicioso.

Los certificados SSL le permiten cifrar sus datos de una manera que solo se puede descifrar en su servidor. Así que no importa dónde salte la información en su servidor, nadie más puede leer la información.

En la mayoría de los casos, y esto depende de su alojamiento, la instalación de un certificado es bastante sencilla. La mayoría de los proveedores lo instalarán por usted.

Tipos de certificados SSL

Como se indica en algunas respuestas, puede crear sus propios certificados SSL. Un certificado SSL es solo un emparejamiento de claves públicas y privadas. Su servidor entrega la clave pública, el cliente la utiliza para cifrar los datos que está enviando y solo la clave privada de su servidor puede descifrarla. OpenSSL es una buena herramienta para crear la suya.

Certificados SSL firmados

La compra de un certificado de una autoridad de certificación agrega otro nivel de seguridad y confianza. Nuevamente, es posible que alguien pueda sentarse entre el navegador del cliente y su servidor web. Simplemente tendrían que dar al cliente su propia clave pública, descifrar la información con su clave privada, volver a cifrarla con su clave pública y pasársela a usted, y ni al usuario ni a usted lo sabría.

Cuando el usuario recibe un certificado firmado, su navegador se conectará al proveedor de autenticación (Verisign, etc.) para validar que la clave pública que recibieron es de hecho la de su sitio web y que no haya habido manipulación. .

Entonces, sí, debería tener un certificado SSL firmado para su sitio. Te hace lucir más profesional, le da a tus usuarios una mayor tranquilidad al usar tu sitio y, lo que es más importante, te protege contra el robo de datos.

Más información sobre el ataque Man In The Middle que es el núcleo del problema aquí. enlace

    
respondido por el Chris 18.07.2012 - 16:41
fuente
2

Los passworrds deben tratarse como información personal, ya que se les da una reutilización de la contraseña, probablemente es más sensible que un SSN.

Teniendo en cuenta eso y su descripción, me pregunto por qué almacena una contraseña ...

Usaría OpenID y si sientes la necesidad de tener tu propio inicio de sesión, crea un único subdominio para eso y utiliza OpenID en cualquier otro lugar.

Si no va a hacer OpenID, aún puede usar el mismo patrón de inicio de sesión y dominio de su dominio para evitar la necesidad de un certificado comodín, pero como dije, las contraseñas del mundo de hoy son al menos tan sensibles como SSN / cumpleaños, no lo recoja si no tiene que hacerlo.

    
respondido por el jmoreno 18.07.2012 - 17:35
fuente
1

RapidSSL a través de Trustico solo cuesta $ 30 o puede obtener un comodín RapidSSL por menos de $ 160; también tienen un precio garantizado, por lo que si lo encuentra más barato, lo igualarán.

    
respondido por el Clint 19.07.2012 - 02:12
fuente
1

Si tiene una IP única, también podría obtener un certificado, especialmente si trata con datos que son incluso remotos. Ya que puede obtener certificados de confianza gratuitos en StartSSL , realmente no hay razón para no tener uno.

    
respondido por el tylerl 19.07.2012 - 05:08
fuente
1

Sería sabio comprar uno. Como se mencionó, es ALL about end user trust para su sitio web.

so I'm hesitant to drop a couple of hundreds on a certificate : bueno, no es caro y puede obtener uno por debajo de $ 50.

SSL: es realmente importante para asegurar su sitio y agregar un nivel de confianza a los visitantes de su sitio. En lo que respecta al proceso de inicio de sesión, ¿por qué NO utilizar OAuth ? Esta función omitirá la molestia del usuario para pasar un tiempo en el registro de su sitio web. El tráfico de usuarios del sitio web realmente se beneficiará de eso. ¡En serio !, encuentra algo de tiempo para investigarlo .

Una buena referencia sobre preguntas comunes de SSL: Todo sobre certificados SSL

    
respondido por el EL Yusubov 18.07.2012 - 11:53
fuente
0

También pensaría en usar un proveedor externo para el inicio de sesión (por ejemplo, openid). La mayoría de los CMS ya lo admiten.

    
respondido por el PBrando 18.07.2012 - 15:57
fuente
-1

Un SSL tiene inconvenientes. Se ralentiza su sitio web. De verdad.

La única razón por la que las personas usan certificados SSL es cuando hay dinero de los clientes involucrados.

Si no está involucrando el dinero de sus clientes, la decisión de tomar un certificado SSL está puramente orientada a los negocios.

Si tiene un back-end para sus clientes, sin dinero involucrado en el sitio web, pero necesitan estar seguros de que están seguros y luego tomar un certificado. Es una inversión para la confianza de sus clientes.

    
respondido por el Florian Margaine 18.07.2012 - 14:52
fuente
-1

Perder dinero en un certificado SSL comodín puede ser la mejor opción, o puede que no. Echa un vistazo al servidor web de Caddy: enlace . Tiene muchas características interesantes, especialmente el soporte integrado para capturar certificados gratuitos de Let's Encrypt. Simplemente puede especificar todos sus dominios en su archivo de configuración y tomará certificados para ellos. La otra característica realmente interesante es On-Demand TLS. Si lo habilitas, cada vez que recibe una solicitud de un nuevo dominio para el que no tiene un certificado, toma uno durante el protocolo de enlace inicial TLS. Eso significa que puedes tener literalmente miles de dominios y no Hay que configurar cada uno individualmente en la configuración de Caddy.

Nota: por más que parezca mi entusiasmo, no estoy familiarizado con Caddy de ninguna manera, forma o forma, aparte de ser un ávido usuario de su producto.

    
respondido por el Duncan X Simpson 11.04.2018 - 20:59
fuente
-4

Todo se trata de los usuarios, no proporcionan ningún tipo de seguridad, los certificados son solo productos para vender.

Es posible que desee echar un vistazo a esto

enlace

    
respondido por el user827992 18.07.2012 - 12:26
fuente

Lea otras preguntas en las etiquetas