Saya bootstrap proyek saya sendiri, ia memiliki area registrasi / login (melalui merancang dengan RoR, hash yang benar dan tentu saja asin). Karena saya menggunakan subdomain dan saya perlu mengaksesnya dengan iframe (ini dibenarkan, sungguh!) Saya memerlukan salah satu dari sertifikat mahal yang mencakup subdomain.
Karena saya melakukan ini dari waktu dan uang saya sendiri, jadi saya ragu untuk menjatuhkan beberapa ratus pada sertifikat, ditambah beberapa jam menyelidiki sesuatu yang belum saya coba sebelumnya. Saya tidak menyimpan informasi sensitif apa pun selain alamat email dan kata sandi. Sejauh yang saya mengerti, satu-satunya kerentanan terjadi ketika pengguna log atau mendaftar dari jaringan tidak terenkripsi (seperti warung kopi) dan seseorang mendengarkan jaringan.
Apakah saya murah? Apakah ini sesuatu yang harus saya tangani sebelum melepaskannya ke alam liar. Saya mungkin harus menyebutkan bahwa saya memiliki 25.000 pengguna mendaftar untuk diberi tahu ketika saya memulai, jadi saya gugup.
Jawaban:
Sejak pertanyaan ini diajukan, banyak yang telah berubah. Apakah situs Anda memerlukan HTTPS? IYA!
Sertifikat dengan validasi domain bebas dari banyak penyedia, mis. Mari Enkripsi. Sertifikat ini sama baiknya dengan yang Anda bayar uang. Berkat identifikasi nama server, tidak perlu memiliki alamat IP.
Browser semakin menandai halaman non-HTTPS sebagai tidak aman , bukan netral. Membuat situs Anda ditandai sebagai tidak aman tidak terlihat bagus.
Teknologi web modern membutuhkan enkripsi. Apakah itu kebijakan Chrome yang hanya mengaktifkan fitur-fitur baru untuk situs HTTPS, peringkat pilihan Google untuk situs HTTPS , atau HTTP / 2 terenkripsi lebih cepat daripada HTTP / 1.1 plaintext , Anda meninggalkan peluang di atas meja. Ya, enkripsi memang menambah beban ke server Anda, tetapi ini tidak terlalu mencolok untuk sebagian besar situs - dan terutama tidak diketahui oleh pengguna.
Privasi lebih penting daripada sebelumnya. Baik itu ISP yang menjual clickstream Anda atau layanan rahasia yang menyaring semua koneksi Anda, tidak ada alasan yang baik untuk membiarkan komunikasi apa pun terlihat oleh publik. Gunakan HTTPS secara default, dan hanya gunakan HTTP jika Anda yakin informasi yang dikirimkan dapat dengan aman diketahui publik, dan dapat dirusak.
Perhatikan bahwa kata sandi tidak boleh dikirimkan melalui koneksi plaintext.
Di bawah beberapa peraturan seperti EU-GDPR, Anda diharuskan untuk menerapkan langkah-langkah keamanan canggih, yang umumnya mencakup HTTPS untuk situs web.
Ada beberapa solusi:
“Gunakan OAuth sebagai ganti kata sandi” meleset dari titik bahwa masih ada token seperti kata sandi yang terlibat. Paling tidak, pengguna Anda akan memiliki cookie sesi yang harus dilindungi, karena berfungsi sebagai kata sandi sementara.
Sertifikat yang ditandatangani sendiri ditolak oleh browser. Dimungkinkan untuk menambahkan pengecualian, tetapi sebagian besar pengguna tidak akan dapat melakukannya. Perhatikan bahwa menghadirkan sertifikat yang ditandatangani sendiri tidak dapat dibedakan bagi pengguna dari serangan MITM menggunakan sertifikat yang tidak valid.
Jadi: Sertifikat gratis dan HTTPS dapat membuat situs Anda lebih cepat. Tidak ada lagi alasan yang valid. Langkah selanjutnya: baca panduan ini tentang migrasi ke HTTPS .
sumber
Saya akan membeli satu. Biaya sertifikat tidak sebesar yang diperhitungkan tingkat kepercayaan yang diberikan kepada pengguna. Anggap saja sebagai investasi. Jika aplikasi Anda tampaknya tidak aman (dan sertifikat SSL yang ditandatangani dengan benar memberikan asumsi bahwa situs web aman) orang mungkin kehilangan minat untuk menggunakan produk masa depan Anda.
sumber
Jika Anda "hanya" mengumpulkan email dan kata sandi, Anda mungkin ingin mencoba membuat sertifikat Anda sendiri OpenSSL (http://www.openssl.org/) sebelum melakukan dana apa pun.
Tapi...
Ini hanya sesuatu yang dapat Anda lakukan untuk "mencoba hal-hal" karena pengguna situs web akan mendapatkan pertengkaran karena ini tidak akan menjadi sertifikat yang diakui / diterima.
Saran saya adalah berinvestasi dalam SSL, hanya karena email dan kata sandi adalah data pribadi yang sangat sensitif yang dapat mengarah pada jenis paparan lain (misalkan saya menggunakan pass yang sama untuk akun email saya - jika info ini bocor, maka semua email data terpapar, termasuk data CC, setiap dan semua info akses yang saya miliki untuk layanan online lainnya dan Tuhan tahu apa lagi ...)
Kami membutuhkan WEB yang aman dan dapat dipercaya dan beberapa lusin dolar adalah harga kecil untuk membayar keamanan pengguna. (bahkan yang mendasar seperti SSL)
sumber
Perhatian pada keamanan
Ini tidak benar, data yang dikirimkan antara pengguna dan situs web Anda tidak pernah aman. Sama seperti contoh, http://www.pcmag.com/article2/0,2817.2406837,00.asp merinci kisah virus yang mengubah pengaturan DNS orang. Tidak peduli seberapa bagus jaringan Anda saat ini dilindungi, pengiriman apa pun di internet melewati banyak server berbeda sebelum sampai ke server Anda. Salah satu dari mereka bisa berbahaya.
Sertifikat SSL memungkinkan Anda untuk mengenkripsi data dengan enkripsi satu arah yang hanya dapat didekripsi di server Anda. Jadi di mana pun data melompat ke server Anda, tidak ada orang lain yang bisa membaca data.
Dalam kebanyakan kasus, dan ini tergantung pada hosting Anda, pemasangan sertifikat agak tidak menyakitkan. Sebagian besar penyedia layanan akan menginstalnya untuk Anda.
Jenis Sertifikat SSL
Seperti disebutkan dalam beberapa jawaban, Anda dapat membuat sertifikat SSL Anda sendiri. Sertifikat SSL hanyalah pasangan kunci publik dan pribadi. Server Anda memberikan kunci publik, klien menggunakannya untuk mengenkripsi data yang dikirim, dan hanya kunci pribadi di server Anda yang dapat mendekripsi. OpenSSL adalah alat yang bagus untuk membuat milik Anda sendiri.
Sertifikat SSL yang ditandatangani
Membeli sertifikat dari otoritas sertifikat menambah tingkat keamanan dan kepercayaan. Sekali lagi, mungkin saja seseorang dapat duduk di antara browser klien dan server web Anda. Mereka hanya perlu memberikan klien kunci publik mereka sendiri, mendekripsi info dengan kunci pribadi mereka, mengenkripsi ulang dengan kunci publik Anda dan meneruskannya kepada Anda dan baik pengguna maupun Anda tidak akan tahu.
Ketika Sertifikat yang Ditandatangani diterima oleh pengguna, browser mereka akan terhubung ke penyedia otentikasi (Verisign, dll.) Untuk memvalidasi bahwa kunci publik yang mereka terima sebenarnya adalah kunci untuk situs web Anda dan tidak ada gangguan.
Jadi, ya Anda harus memiliki sertifikat SSL yang ditandatangani untuk situs Anda. Itu membuat Anda terlihat lebih profesional, memberikan pengguna Anda lebih banyak pemikiran dalam menggunakan situs Anda, dan yang paling penting melindungi Anda terhadap pencurian data.
Info lebih lanjut tentang serangan Man In The Middle yang merupakan inti dari masalah di sini. http://en.wikipedia.org/wiki/Man-in-the-middle_attack
sumber
Passworrds harus diperlakukan sebagai informasi pribadi - terus terang diberikan kembali kata sandi, mungkin lebih sensitif daripada SSN.
Mengingat itu dan uraian Anda, saya heran mengapa Anda menyimpan kata sandi sama sekali ...
Saya akan menggunakan OpenID dan jika Anda merasa perlu memiliki login Anda sendiri, buat subdomain tunggal untuk itu, dan gunakan OpenID di tempat lain.
Jika Anda tidak akan melakukan OpenID, Anda masih dapat menggunakan login yang sama. Pola domain Anda agar tidak memerlukan sertifikat wildcard, tetapi seperti yang saya katakan, di dunia ini kata sandi dunia setidaknya sama sensitifnya dengan SSN / ulang tahun, jangan kumpulkan jika tidak perlu.
sumber
RapidSSL melalui Trustico hanya $ 30 atau Anda bisa mendapatkan RapidSSL wildcard kurang dari $ 160 - mereka juga memiliki jaminan harga, jadi jika Anda merasa lebih murah mereka akan mencocokkannya.
sumber
Jika Anda memiliki IP unik, Anda mungkin juga mendapatkan sertifikat, terutama jika Anda berurusan dengan data yang bahkan sangat sensitif. Karena Anda bisa mendapatkan sertifikat tepercaya gratis dari StartSSL , sebenarnya tidak ada alasan untuk tidak memilikinya.
sumber
Akan lebih bijaksana untuk membeli satu. Seperti disebutkan, itu
ALL about end user trust
ke situs web Anda.so I'm hesitant to drop a couple of hundreds on a certificate
- yah itu tidak mahal dan Anda mungkin mendapatkan satu di bawah $ 50.SSL - sangat penting untuk mengamankan situs Anda dan menambah tingkat kepercayaan kepada pengunjung di situs Anda. Sehubungan dengan proses login, mengapa TIDAK menggunakan OAuth ? Fitur ini akan melompati kerumitan pengguna untuk menghabiskan waktu dalam pendaftaran untuk situs web Anda. Lalu lintas pengguna situs web akan sangat diuntungkan. Serius !, cari waktu untuk merisetnya .
Referensi yang bagus untuk pertanyaan SSL umum - Semua tentang Sertifikat SSL
sumber
Saya juga akan berpikir tentang menggunakan penyedia pihak ketiga untuk login (misalnya openid). Sebagian besar CMS sudah mendukungnya.
sumber
SSL memiliki kelemahan. Ini memperlambat situs web Anda. Betulkah.
Satu-satunya alasan mengapa orang menggunakan sertifikat SSL adalah ketika ada uang pelanggan yang terlibat.
Jika Anda tidak melibatkan uang pelanggan Anda, keputusan untuk mengambil sertifikat SSL murni berorientasi bisnis.
Jika Anda memiliki backend untuk pelanggan Anda, tanpa uang yang terlibat di situs web, tetapi mereka perlu memastikan bahwa mereka aman, maka pastikan mengambil sertifikat. Ini adalah investasi untuk kepercayaan pelanggan Anda.
sumber
Menjatuhkan sejumlah uang pada sertifikat SSL wildcard mungkin merupakan opsi terbaik, atau mungkin tidak. Lihatlah server web Caddy: https://caddyserver.com/ . Ini memiliki banyak fitur bagus, khususnya dukungan yang dalam untuk memperoleh sertifikat gratis dari Let's Encrypt. Anda bisa menentukan semua domain Anda di file konfigurasi dan itu akan mengambil sertifikat untuk mereka. Fitur keren lainnya adalah TLS On-Demand. Jika Anda mengaktifkannya, setiap kali ia menerima permintaan untuk domain baru yang tidak memiliki sertifikat untuknya , ia meraihnya selama jabat tangan TLS awal. Itu berarti Anda dapat memiliki ribuan domain dan tidak perlu mengkonfigurasi masing-masing individu di konfigurasi Caddy.
Catatan: Meskipun antusiasme saya terlihat seperti itu, saya tidak tergabung dengan Caddy dengan cara, bentuk, atau bentuk apa pun, selain menjadi pengguna yang rajin terhadap produk mereka.
sumber
Ini semua tentang pengguna, mereka tidak menyediakan keamanan apa pun, sertifikat hanyalah produk untuk dijual.
Anda mungkin ingin melihatnya
http://en.wikipedia.org/wiki/Comparison_of_SSL_certificates_for_web_servers
sumber