Seberapa penting sertifikat SSL untuk situs web?

14

Saya bootstrap proyek saya sendiri, ia memiliki area registrasi / login (melalui merancang dengan RoR, hash yang benar dan tentu saja asin). Karena saya menggunakan subdomain dan saya perlu mengaksesnya dengan iframe (ini dibenarkan, sungguh!) Saya memerlukan salah satu dari sertifikat mahal yang mencakup subdomain.

Karena saya melakukan ini dari waktu dan uang saya sendiri, jadi saya ragu untuk menjatuhkan beberapa ratus pada sertifikat, ditambah beberapa jam menyelidiki sesuatu yang belum saya coba sebelumnya. Saya tidak menyimpan informasi sensitif apa pun selain alamat email dan kata sandi. Sejauh yang saya mengerti, satu-satunya kerentanan terjadi ketika pengguna log atau mendaftar dari jaringan tidak terenkripsi (seperti warung kopi) dan seseorang mendengarkan jaringan.

Apakah saya murah? Apakah ini sesuatu yang harus saya tangani sebelum melepaskannya ke alam liar. Saya mungkin harus menyebutkan bahwa saya memiliki 25.000 pengguna mendaftar untuk diberi tahu ketika saya memulai, jadi saya gugup.

security ssl metode tindakan
sumber
1
Karena dia memerlukan sertifikat wildcard untuk mencakup sub-domainnya.
pritaea
1
Tetapi apakah subdomain itu benar-benar diperlukan? Apakah mungkin menempatkan semacam proxy (aman) di depan mereka semua agar terlihat seperti satu situs?
Donal Fellows
3
Jika Anda memiliki 25.000 pengguna menunggu peluncuran Anda, maka menghabiskan ratusan dolar seharusnya tidak menjadi masalah.
marco-fiset
2
Terlepas dari banyak jawaban dan komentar, sertifikat SSL yang Ditandatangani adalah bagian penting dari pengamanan data di situs web Anda. Apa pun yang dilihat atau dikirim pengguna dapat dimata-matai jika Anda tidak memilikinya, terlepas dari mana mereka terhubung.
Chris
2
@RyanKinal Uhh ... yang benar-benar berfungsi dan divalidasi dengan benar di browser standar? Saya akan berpikir CA mana saja yang menawarkan sertifikat gratis akan memiliki kunci penandatanganan daftar hitam
TheLQ

Jawaban:

5

Sejak pertanyaan ini diajukan, banyak yang telah berubah. Apakah situs Anda memerlukan HTTPS? IYA!

  1. Sertifikat dengan validasi domain bebas dari banyak penyedia, mis. Mari Enkripsi. Sertifikat ini sama baiknya dengan yang Anda bayar uang. Berkat identifikasi nama server, tidak perlu memiliki alamat IP.

  2. Browser semakin menandai halaman non-HTTPS sebagai tidak aman , bukan netral. Membuat situs Anda ditandai sebagai tidak aman tidak terlihat bagus.

  3. Teknologi web modern membutuhkan enkripsi. Apakah itu kebijakan Chrome yang hanya mengaktifkan fitur-fitur baru untuk situs HTTPS, peringkat pilihan Google untuk situs HTTPS , atau HTTP / 2 terenkripsi lebih cepat daripada HTTP / 1.1 plaintext , Anda meninggalkan peluang di atas meja. Ya, enkripsi memang menambah beban ke server Anda, tetapi ini tidak terlalu mencolok untuk sebagian besar situs - dan terutama tidak diketahui oleh pengguna.

  4. Privasi lebih penting daripada sebelumnya. Baik itu ISP yang menjual clickstream Anda atau layanan rahasia yang menyaring semua koneksi Anda, tidak ada alasan yang baik untuk membiarkan komunikasi apa pun terlihat oleh publik. Gunakan HTTPS secara default, dan hanya gunakan HTTP jika Anda yakin informasi yang dikirimkan dapat dengan aman diketahui publik, dan dapat dirusak.

    Perhatikan bahwa kata sandi tidak boleh dikirimkan melalui koneksi plaintext.

    Di bawah beberapa peraturan seperti EU-GDPR, Anda diharuskan untuk menerapkan langkah-langkah keamanan canggih, yang umumnya mencakup HTTPS untuk situs web.

Ada beberapa solusi:

  • “Gunakan OAuth sebagai ganti kata sandi” meleset dari titik bahwa masih ada token seperti kata sandi yang terlibat. Paling tidak, pengguna Anda akan memiliki cookie sesi yang harus dilindungi, karena berfungsi sebagai kata sandi sementara.

  • Sertifikat yang ditandatangani sendiri ditolak oleh browser. Dimungkinkan untuk menambahkan pengecualian, tetapi sebagian besar pengguna tidak akan dapat melakukannya. Perhatikan bahwa menghadirkan sertifikat yang ditandatangani sendiri tidak dapat dibedakan bagi pengguna dari serangan MITM menggunakan sertifikat yang tidak valid.

Jadi: Sertifikat gratis dan HTTPS dapat membuat situs Anda lebih cepat. Tidak ada lagi alasan yang valid. Langkah selanjutnya: baca panduan ini tentang migrasi ke HTTPS .

amon
sumber
Saya setuju bahwa tren saat ini adalah untuk https situs Anda, bahkan jika Anda tidak menangani pendaftaran pengguna dan semacamnya, karena manfaat yang Anda sebutkan. Saya memilih ini sebagai jawaban yang benar.
Methodofaction
1
Sebagai tambahan: HTTPS tidak hanya menghadirkan privasi, tetapi juga integritas. Karena enkripsi, Anda juga dapat memastikan bahwa data yang diterima pengguna sebenarnya adalah data yang dikirim dan tidak dimodifikasi oleh seseorang di jalan
johannes
24

Saya akan membeli satu. Biaya sertifikat tidak sebesar yang diperhitungkan tingkat kepercayaan yang diberikan kepada pengguna. Anggap saja sebagai investasi. Jika aplikasi Anda tampaknya tidak aman (dan sertifikat SSL yang ditandatangani dengan benar memberikan asumsi bahwa situs web aman) orang mungkin kehilangan minat untuk menggunakan produk masa depan Anda.

Andrzej Bobak
sumber
1
SSL keseluruhan adalah 'merasa baik' untuk orang-orang non-teknologi
Jakub
dan di sisi lain: tidak ada SSL adalah 'merasa sangat buruk dan mencurigakan' untuk pengguna biasa
Andrzej Bobak
Hanya sertifikat yang ditandatangani yang dapat memberikan kepercayaan. Mungkin saja data masih dicuri tanpa sertifikat yang ditandatangani. Serangan manusia di tengah masih bekerja dengan memberikan sertifikat palsu kepada klien.
Chris
Terima kasih atas petunjuknya, konsensus umum tampaknya menunjukkan bahwa SSL bukanlah sesuatu yang harus saya selidiki. Saya telah menginstal sertifikat gratis dari StartSSL dan akan membeli wildcard ketika saya benar-benar meluncurkan method.ac
methodofaction
5

Jika Anda "hanya" mengumpulkan email dan kata sandi, Anda mungkin ingin mencoba membuat sertifikat Anda sendiri OpenSSL (http://www.openssl.org/) sebelum melakukan dana apa pun.

Tapi...

Ini hanya sesuatu yang dapat Anda lakukan untuk "mencoba hal-hal" karena pengguna situs web akan mendapatkan pertengkaran karena ini tidak akan menjadi sertifikat yang diakui / diterima.

Saran saya adalah berinvestasi dalam SSL, hanya karena email dan kata sandi adalah data pribadi yang sangat sensitif yang dapat mengarah pada jenis paparan lain (misalkan saya menggunakan pass yang sama untuk akun email saya - jika info ini bocor, maka semua email data terpapar, termasuk data CC, setiap dan semua info akses yang saya miliki untuk layanan online lainnya dan Tuhan tahu apa lagi ...)

Kami membutuhkan WEB yang aman dan dapat dipercaya dan beberapa lusin dolar adalah harga kecil untuk membayar keamanan pengguna. (bahkan yang mendasar seperti SSL)

Igal Zeifman
sumber
5

Perhatian pada keamanan

Sejauh yang saya mengerti, satu-satunya kerentanan terjadi ketika pengguna log atau mendaftar dari jaringan tidak terenkripsi (seperti warung kopi) dan seseorang mendengarkan jaringan.

Ini tidak benar, data yang dikirimkan antara pengguna dan situs web Anda tidak pernah aman. Sama seperti contoh, http://www.pcmag.com/article2/0,2817.2406837,00.asp merinci kisah virus yang mengubah pengaturan DNS orang. Tidak peduli seberapa bagus jaringan Anda saat ini dilindungi, pengiriman apa pun di internet melewati banyak server berbeda sebelum sampai ke server Anda. Salah satu dari mereka bisa berbahaya.

Sertifikat SSL memungkinkan Anda untuk mengenkripsi data dengan enkripsi satu arah yang hanya dapat didekripsi di server Anda. Jadi di mana pun data melompat ke server Anda, tidak ada orang lain yang bisa membaca data.

Dalam kebanyakan kasus, dan ini tergantung pada hosting Anda, pemasangan sertifikat agak tidak menyakitkan. Sebagian besar penyedia layanan akan menginstalnya untuk Anda.

Jenis Sertifikat SSL

Seperti disebutkan dalam beberapa jawaban, Anda dapat membuat sertifikat SSL Anda sendiri. Sertifikat SSL hanyalah pasangan kunci publik dan pribadi. Server Anda memberikan kunci publik, klien menggunakannya untuk mengenkripsi data yang dikirim, dan hanya kunci pribadi di server Anda yang dapat mendekripsi. OpenSSL adalah alat yang bagus untuk membuat milik Anda sendiri.

Sertifikat SSL yang ditandatangani

Membeli sertifikat dari otoritas sertifikat menambah tingkat keamanan dan kepercayaan. Sekali lagi, mungkin saja seseorang dapat duduk di antara browser klien dan server web Anda. Mereka hanya perlu memberikan klien kunci publik mereka sendiri, mendekripsi info dengan kunci pribadi mereka, mengenkripsi ulang dengan kunci publik Anda dan meneruskannya kepada Anda dan baik pengguna maupun Anda tidak akan tahu.

Ketika Sertifikat yang Ditandatangani diterima oleh pengguna, browser mereka akan terhubung ke penyedia otentikasi (Verisign, dll.) Untuk memvalidasi bahwa kunci publik yang mereka terima sebenarnya adalah kunci untuk situs web Anda dan tidak ada gangguan.

Jadi, ya Anda harus memiliki sertifikat SSL yang ditandatangani untuk situs Anda. Itu membuat Anda terlihat lebih profesional, memberikan pengguna Anda lebih banyak pemikiran dalam menggunakan situs Anda, dan yang paling penting melindungi Anda terhadap pencurian data.

Info lebih lanjut tentang serangan Man In The Middle yang merupakan inti dari masalah di sini. http://en.wikipedia.org/wiki/Man-in-the-middle_attack

Chris
sumber
2

Passworrds harus diperlakukan sebagai informasi pribadi - terus terang diberikan kembali kata sandi, mungkin lebih sensitif daripada SSN.

Mengingat itu dan uraian Anda, saya heran mengapa Anda menyimpan kata sandi sama sekali ...

Saya akan menggunakan OpenID dan jika Anda merasa perlu memiliki login Anda sendiri, buat subdomain tunggal untuk itu, dan gunakan OpenID di tempat lain.

Jika Anda tidak akan melakukan OpenID, Anda masih dapat menggunakan login yang sama. Pola domain Anda agar tidak memerlukan sertifikat wildcard, tetapi seperti yang saya katakan, di dunia ini kata sandi dunia setidaknya sama sensitifnya dengan SSN / ulang tahun, jangan kumpulkan jika tidak perlu.

jmoreno
sumber
1

RapidSSL melalui Trustico hanya $ 30 atau Anda bisa mendapatkan RapidSSL wildcard kurang dari $ 160 - mereka juga memiliki jaminan harga, jadi jika Anda merasa lebih murah mereka akan mencocokkannya.

Clint
sumber
1

Jika Anda memiliki IP unik, Anda mungkin juga mendapatkan sertifikat, terutama jika Anda berurusan dengan data yang bahkan sangat sensitif. Karena Anda bisa mendapatkan sertifikat tepercaya gratis dari StartSSL , sebenarnya tidak ada alasan untuk tidak memilikinya.

tylerl
sumber
1

Akan lebih bijaksana untuk membeli satu. Seperti disebutkan, itu ALL about end user trustke situs web Anda.

so I'm hesitant to drop a couple of hundreds on a certificate - yah itu tidak mahal dan Anda mungkin mendapatkan satu di bawah $ 50.

SSL - sangat penting untuk mengamankan situs Anda dan menambah tingkat kepercayaan kepada pengunjung di situs Anda. Sehubungan dengan proses login, mengapa TIDAK menggunakan OAuth ? Fitur ini akan melompati kerumitan pengguna untuk menghabiskan waktu dalam pendaftaran untuk situs web Anda. Lalu lintas pengguna situs web akan sangat diuntungkan. Serius !, cari waktu untuk merisetnya .

Referensi yang bagus untuk pertanyaan SSL umum - Semua tentang Sertifikat SSL

Yusubov
sumber
0

Saya juga akan berpikir tentang menggunakan penyedia pihak ketiga untuk login (misalnya openid). Sebagian besar CMS sudah mendukungnya.

PBrando
sumber
-1

SSL memiliki kelemahan. Ini memperlambat situs web Anda. Betulkah.

Satu-satunya alasan mengapa orang menggunakan sertifikat SSL adalah ketika ada uang pelanggan yang terlibat.

Jika Anda tidak melibatkan uang pelanggan Anda, keputusan untuk mengambil sertifikat SSL murni berorientasi bisnis.

Jika Anda memiliki backend untuk pelanggan Anda, tanpa uang yang terlibat di situs web, tetapi mereka perlu memastikan bahwa mereka aman, maka pastikan mengambil sertifikat. Ini adalah investasi untuk kepercayaan pelanggan Anda.

Florian Margaine
sumber
3
-1: Anda harus SELALU menggunakan sertifikat SSL ketika pengguna Anda mengirimkan data sensitif seperti kata sandi untuk pendaftaran dan login. Bukan hanya ketika uang terlibat.
marco-fiset
2
Saya tidak setuju. Dari sudut pandang bisnis, jelas tidak diperlukan. Hanya beli sertifikat SSL jika, seperti yang dikatakan dalam jawaban, Anda melibatkan uang pelanggan.
Florian Margaine
3
@Florian: SE adalah situs web yang rusak , jika meminta Anda untuk info pribadi tetapi tidak mengenkripsi itu. Jaringan situs sebesar ini, terutama yang diarahkan pada programmer, harusnya lebih tahu. Namun bagi saya, mereka mengarahkan ulang ke penyedia OpenID saya, yang BTW memang menggunakan SSL. Pertanyaannya adalah apakah kehancuran itu layak diperbaiki. Dan untuk situs seperti SO yang tidak benar-benar memiliki info pribadi (selain dari kata sandi dan alamat email), mungkin mereka telah memutuskan tidak. Tapi itu keputusan yang harus dibuat dan dijalani, bukan hanya mengatakan "tidak ada nomor CC? Lalu sekrup SSL".
cHao
1
Saya tertipu oleh kurangnya SSL juga, tetapi ternyata formulir pendaftaran sebenarnya tertanam dalam iframe yang memanggil alamat https.
Methodofaction
1
@FlorianMargaine - Google telah membuktikan bahwa klaim Anda tentang SSL memperlambat situs web Anda sebagai kesalahan.
Ramhound
-1

Menjatuhkan sejumlah uang pada sertifikat SSL wildcard mungkin merupakan opsi terbaik, atau mungkin tidak. Lihatlah server web Caddy: https://caddyserver.com/ . Ini memiliki banyak fitur bagus, khususnya dukungan yang dalam untuk memperoleh sertifikat gratis dari Let's Encrypt. Anda bisa menentukan semua domain Anda di file konfigurasi dan itu akan mengambil sertifikat untuk mereka. Fitur keren lainnya adalah TLS On-Demand. Jika Anda mengaktifkannya, setiap kali ia menerima permintaan untuk domain baru yang tidak memiliki sertifikat untuknya , ia meraihnya selama jabat tangan TLS awal. Itu berarti Anda dapat memiliki ribuan domain dan tidak perlu mengkonfigurasi masing-masing individu di konfigurasi Caddy.

Catatan: Meskipun antusiasme saya terlihat seperti itu, saya tidak tergabung dengan Caddy dengan cara, bentuk, atau bentuk apa pun, selain menjadi pengguna yang rajin terhadap produk mereka.

Duncan X Simpson
sumber
-4

Ini semua tentang pengguna, mereka tidak menyediakan keamanan apa pun, sertifikat hanyalah produk untuk dijual.

Anda mungkin ingin melihatnya

http://en.wikipedia.org/wiki/Comparison_of_SSL_certificates_for_web_servers

pengguna827992
sumber
Saya tidak berpikir apa yang Anda katakan itu benar. Sertifikat tidak memberikan keamanan, tetapi merupakan identitas, dan dapat mengidentifikasi objek adalah tingkat keamanan pertama?
Ozair Kafray
mengidentifikasi siapa? bagaimana? jika Anda memiliki perusahaan bernama "Barang" Anda membeli sertifikat dan Anda diakui sebagai "Barang", titik. jika Anda mengatakan bahwa Anda "Acak" Anda dikenali sebagai "Acak"; Menurut Anda apakah orang ini memiliki minat minimal untuk menjadi petugas polisi melalui internet?
user827992
Tidak, tetapi kami baru-baru ini membeli sertifikat untuk produk kami vcred.com dan, geotrust membutuhkan waktu 3 bulan untuk memverifikasi kami sebagai perusahaan yang riksof.com. Itu untuk Pakistan, untuk negara-negara lain mereka membutuhkan waktu lebih sedikit, dan itu karena mereka memverifikasi kita. Saya pikir Verisign juga akan memiliki proses verifikasi yang ketat. Jadi, mereka tidak menjualnya hanya sebagai produk dalam pandangan saya. Seseorang dapat menghasilkan sertifikat sendiri juga dan kemudian tidak adanya CA mudah diidentifikasi
Ozair Kafray
Perusahaan ini merupakan pengecualian, juga tergantung pada jenis sertifikat yang Anda beli, tetapi pada akhirnya Anda bisa menjadi orang lain dan tidak sulit untuk mencapainya.
user827992
2
-1 Sertifikat memberikan keamanan. Itu fungsi utama mereka.
Chris