WebサイトのSSL証明書はどれくらい重要ですか?


14

私は自分のプロジェクトをブートストラップしています。登録/ログイン領域があります(RoRを使用したデバイスを介して、もちろん適切にハッシュ化およびソルトされます)。私はサブドメインを使用しており、iframeでそれらにアクセスする必要があるので(本当に正当です!)、サブドメインをカバーする高価な証明書の1つが必要です。

私は自分の時間とお金でこれをやっているので、証明書に数百を落とすことにplusしており、さらに私が今まで試したことのないものを掘り下げるのに数時間かかります。メールアドレスとパスワード以外の機密情報は保存していません。私が理解している限り、唯一の脆弱性は、ユーザーが暗号化されていないネットワーク(コーヒーショップなど)からログインまたはサインアップし、誰かがネットワークをリッスンしているときに発生します。

安いの?これは私が野生にリリースする前に取り組むべきものです。おそらく、起動時に通知を受けるために25,000人のユーザーがサインアップしていることに言及する必要があるので、私はそれについて緊張しています。


1
彼はサブドメインをカバーするためにワイルドカード証明書が必要だからです。
pritaeas

1
しかし、サブドメインは本当に必要ですか?ある種の(安全な)プロキシをすべての前に置いて、単一のサイトのように見せることは可能ですか?
ドナルドフェローズ

3
25,000人のユーザーがローンチを待っている場合、数百ドルを費やすことは問題になりません。
marco-fiset

2
多くの回答とコメントがありますが、署名済みSSL証明書はWebサイト上のデータを保護するために不可欠な部分です。ユーザーがどこから接続したかに関係なく、ユーザーが見たり送信したりするものがない場合は、それをスパイすることができます。
クリス

2
@RyanKinal Uhh ...これらは実際に動作し、標準ブラウザで正しく検証されますか?私は自由のために提供さ本命は、その署名鍵がブラックリストに載っているであろう任意のCAを考えただろう
TheLQ

回答:


5

この質問が聞かれてから、多くのことが変わりました。サイトにHTTPSが必要ですか?はい!

  1. ドメイン検証付きの証明書は、Let's Encryptなどの多くのプロバイダーから無料です。これらの証明書は、お金を払う証明書と同じくらい優れています。サーバー名の識別のおかげで、IPアドレスを所有する必要はありません。

  2. ブラウザは、HTTPS以外のページをニュートラルではなく、安全でないマークするようになっています。あなたのサイトを安全でないとマークすることは良く見えません。

  3. 最新のWebテクノロジーでは暗号化が必要です。HTTPSサイトの新機能のみを有効にするChromeのポリシー、HTTPSサイトのGoogleの優先ランキング、または暗号化されたHTTP / 2がプレーンテキストHTTP / 1.1 より高速であるかどうかに関係なく、機会をテーブルに残しています。はい、暗号化はサーバーに負荷を追加しますが、これはほとんどのサイトでは気付かれません。特にユーザーには気付かれません。

  4. プライバシーはこれまで以上に重要です。クリックストリームを販売するISPでも、すべての接続をふるいにかける秘密のサービスでも、通信を公開する正当な理由はありません。デフォルトでHTTPSを使用し、送信された情報が安全に公開され、改ざんされる可能性があることが確実な場合にのみHTTPを使用します。

    パスワードはプレーンテキスト接続で送信しないでください。

    EU-GDPRなどの一部の規制では、一般的にWebサイトのHTTPSを含む最先端のセキュリティ対策を実装する必要があります。

いくつかの非解決策があります。

  • 「パスワードの代わりにOAuthを使用する」では、まだパスワードのようなトークンが関係しているという点を見逃しています。少なくとも、ユーザーは一時的なパスワードとして機能するため、保護する必要があるセッションCookieを持っています。

  • 自己署名証明書はブラウザによって拒否されます。例外を追加することは可能ですが、ほとんどのユーザーはそれを行うことができません。自己署名証明書の提示は、無効な証明書を使用したMITM攻撃とユーザーが区別できないことに注意してください。

そのため、証明書は無料で、HTTPSはサイトを高速化できます。有効な言い訳はなくなりました。次のステップ:HTTPSへの移行に関するこのガイドをお読みください


あなたが言及する利点のために、ユーザー登録などを処理していない場合でも、最近の傾向はあなたのサイトをhttpsにすることです。私はこれを正しい答えとして選択しています。
methodofaction

1
さらに、HTTPSはプライバシーだけでなく、整合性ももたらします。暗号化のため、ユーザーが実際に受信したデータが送信されたものであり、途中で誰かによって変更されていないことを確認することもできます
-johannes

24

買います 証明書のコストは、それがユーザーに提供する信頼のレベルを考えるとそれほど大きくありません。それを投資と考えてください。アプリケーションが安全でないと思われる場合(そして適切に署名されたSSL証明書がWebサイトが安全であると仮定する場合)、人々はあなたの将来の製品を使用することに興味を失うかもしれません。


1
全体的なSSLは技術系以外の人にとっては「いい感じ」です
Jakub

反対側:SSLは、典型的なユーザーにとって「非常に不快で疑わしい」ものではありません
Andrzej Bobak

署名された証明書のみが信頼を提供できます。署名付き証明書なしでデータを盗むことは可能です。中間者攻撃は、クライアントに偽の証明書を提供することで引き続き機能します。
クリス

ポインタのおかげで、一般的なコンセンサスは、SSLは私がざっと目を通すべきものではないことを指摘しているようです。StartSSLから無料の証明書をインストールし、実際にmethod.acを
methodofaction

5

電子メールとパスワードを「唯一」収集している場合は、資金を投入する前に独自の証明書OpenSSL(http://www.openssl.org/)を作成してみてください。

だが...

これは、「物事を試す」ためにできることです。これは、ウェブサイトのユーザーは、これが認識/承認された証明書ではないため、警告を受けるからです。

私のアドバイスは、単に電子メールとパスワードが他の種類の露出につながる可能性のある非常に機密性の高いプライベートデータであるため、SSLに投資することです(たとえば、私は自分の電子メールアカウントに同じパスを使用しますCCデータを含むデータが公開されており、他のオンラインサービスに関するすべてのアクセス情報があり、神は他に何を知っているか...)

安全で信頼できるWEBが必要です。数十ドルは、ユーザーのセキュリティに支払う低価格です。(SSLと同じくらい基本的)


5

セキュリティ上の懸念

私が理解している限り、唯一の脆弱性は、ユーザーが暗号化されていないネットワーク(コーヒーショップなど)からログインまたはサインアップし、誰かがネットワークをリッスンしているときに発生します。

これは真実ではありません。ユーザーとあなたのウェブサイトの間で送信されるデータは決して安全ではありません。例として、http://www.pcmag.com/article2/0,2817,2406837,00.aspは、人々のDNS設定を変更したウイルスの詳細が記載されています。現在のネットワークがどれほど良好に保護されていても、インターネット上で送信されたデータは、多くの異なるサーバーを経由してから送信されます。それらのいずれかが悪意のある可能性があります。

SSL証明書を使用すると、サーバーでのみ復号化できる一方向暗号化でデータを暗号化できます。そのため、データがサーバー上のどこに移動しても、他の誰もデータを読み取ることができません。

ほとんどの場合、これはホスティングに依存しますが、証明書のインストールは簡単です。ほとんどのプロバイダーがインストールします。

SSL証明書タイプ

いくつかの回答で述べたように、独自のSSL証明書を作成できます。SSL証明書は、公開鍵と秘密鍵のペアにすぎません。サーバーは公開鍵を提供し、クライアントはそれを使用して送信するデータを暗号化し、サーバー上の秘密鍵のみがそれを解読できます。OpenSSLは、独自に作成するための優れたツールです。

署名済みSSL証明書

認証局から証明書を購入すると、別のレベルのセキュリティと信頼が追加されます。繰り返しになりますが、クライアントブラウザーとWebサーバーの間に誰かが座っている可能性があります。クライアントに独自の公開鍵を与え、秘密鍵で情報を復号化し、公開鍵で再暗号化して、ユーザーにもユーザーにも知らないように渡すだけです。

ユーザーが署名付き証明書を受け取ると、ブラウザーは認証プロバイダー(Verisignなど)に接続して、受け取った公開キーが実際にWebサイトのものであり、改ざんされていないことを検証します。

したがって、はい、あなたはあなたのサイトのために署名されたSSL証明書を持っている必要があります。それはあなたをよりプロフェッショナルに見せ、ユーザーにあなたのサイトを使う心を与え、そして最も重要なことはデータ盗難からあなたを守ります。

ここで問題の核心である中間者攻撃に関する詳細情報。 http://en.wikipedia.org/wiki/Man-in-the-middle_attack


2

パスワードは個人情報として扱う必要があります。率直に言って、パスワードの再利用を考えると、おそらくSSNよりも機密性が高くなります。

それとあなたの説明を考えると、なぜパスワードを保存しているのでしょうか...

OpenIDを使用します。独自のログインが必要な場合は、そのための単一のサブドメインを作成し、他の場所でOpenIDを使用します。

OpenIDを実行しない場合でも、同じlogin.yourdomainパターンを使用してワイルドカード証明書を必要としないようにできますが、先ほど言ったように、今日の世界ではパスワードは少なくとも SSN /誕生日と同じくらい機密性が高いので、収集しないでくださいあなたがする必要がない場合。


1

Trustico経由のRapidSSLはわずか30ドルです。または、160ドル未満でRapidSSLワイルドカードを入手できます。価格保証もあるので、安く見つけた場合は一致します。


1

固有のIPを持っている場合は、特にリモートで機密性の高いデータを扱う場合は、証明書を取得することもあります。StartSSLから無料の信頼できる証明書を取得できるため、実際に証明書を持たない理由はありません。


1

買うのが賢明でしょう。前述のように、それはALL about end user trustあなたのウェブサイトです。

so I'm hesitant to drop a couple of hundreds on a certificate -まあそれは高価ではありません、あなたは50ドル未満のものを得ることができます。

SSL-あなたのサイトを保護し、あなたのサイトの訪問者に一定の自信を与えるために本当に重要です。ログインプロセスに関して、なぜOAuthを使用しないのですか?この機能により、ユーザーの Webサイトの登録に時間をかける手間が省けます。Webサイトのユーザートラフィックは、その恩恵を本当に受けます。真剣に!、それを研究する時間を見つけてください

一般的なSSLの質問に関する適切なリファレンス-SSL証明書に関するすべて


0

また、ログインにサードパーティのプロバイダー(openidなど)を使用することも考えます。ほとんどのCMSはすでにサポートしています。


-1

SSLには欠点があります。それはあなたのウェブサイトを遅くします。本当に。

人々がSSL証明書を使用している唯一の理由は、顧客のお金が関係しているときです。

顧客のお金に関与していない場合、SSL証明書を取得するという決定は純粋にビジネス指向です。

ウェブサイトにお金をかけずに顧客向けのバックエンドを使用しているが、顧客が安全であることを確認する必要がある場合は、証明書を取得してください。それはあなたの顧客の信頼のための投資です。


3
-1:ユーザーが登録やログイン用のパスワードなどの機密データを送信するときは、常にSSL証明書を使用する必要があります。お金が関係するときだけではありません。
マルコ・fiset

2
同意しません。ビジネスの観点からは、明らかにそれは必要ありません。答えで述べたように、顧客のお金が関係している場合にのみ、SSL証明書を購入してください。
フローリアンマーゲイン

3
@Florian:SEは、個人情報を要求するが暗号化しない場合、壊れた Webサイトです。この巨大なサイトネットワーク、特にプログラマ向けのサイトネットワークは、もっとよく知っているはずです。しかし、私にとっては、彼らは私のOpenIDプロバイダーにリダイレクトします。BTW SSLを使用ます。問題は、その破損を修正する価値があるかどうかです。そして、(パスワードとメールアドレスを除いて)個人情報を実際に持たないSOのようなサイトの場合、そうではないと判断したのかもしれません。しかし、それは単に「CC番号はないのにSSLをねじる」と言うのではなく、決定し、それに従わなければならない決定です。
cHao

1
私もSSLの欠如にだまされましたが、サインアップフォームは実際にはhttpsアドレスを呼び出すiframeに埋め込まれていることがわかりました。
methodofaction

1
@FlorianMargaine-Googleは、SSLの主張がWebサイトの速度を低下させていることを証明しています。
ラムハウンド

-1

ワイルドカードSSL証明書にお金を落とすのが最善の選択肢かもしれませんし、そうでないかもしれません。Caddy Webサーバーhttps://caddyserver.com/をご覧ください。これには、Let's Encryptから無料の証明書を取得するためのサポートが組み込まれているなど、多くの素晴らしい機能があります。構成ファイルですべてのドメインを指定するだけで、ドメインの証明書を取得できます。もう1つの非常に優れた機能は、オンデマンドTLSです。有効にすると、証明書を持たない新しいドメインの要求を受け取るたびに、最初のTLSハンドシェイク中に証明書を取得します。つまり、文字通り何千ものドメインを持つことができ、Caddy構成で個々のドメインを構成する必要はありません。

注:私の熱意はそのように思えるかもしれませんが、私は製品の熱心なユーザーであること以外、いかなる形、形、または形でもCaddyと提携していません。


-4

それはすべてユーザーに関するものであり、いかなる種類のセキュリティも提供せず、証明書は販売する製品にすぎません。

あなたはこれを見てみたいかもしれません

http://en.wikipedia.org/wiki/Comparison_of_SSL_certificates_for_web_servers


あなたが言っていることは正しいとは思いません。証明書はセキュリティを提供しませんが、IDであり、オブジェクトを識別できることがセキュリティの第一レベルですか?
Ozair Kafray

誰を特定しますか?どうやって?「スタッフ」という名前の会社がある場合は、証明書を購入し、「スタッフ」期間として認識されます。自分が「ランダム」だと言うと、「ランダム」として認識されます。この人たちは、インターネットで警察官になることに最小限の関心しかないと思いますか?
-user827992

いいえ。ただし、最近、製品vcred.comの証明書を購入しました。geotrustは、riksof.comの会社であることを確認するのに3か月かかりました。それはパキスタンにとって、他の国にとっては時間がかかりません。それは彼らが私たちを検証するからです。ベリサインには厳格な検証プロセスもあると思います。だから、彼らは私の見解では製品としてそれを販売していません。一つは、証明書自分自身を生成することができ、その後、CAの有無を容易に識別される
Ozair Kafray

この会社は例外であり、購入する証明書の種類にも依存しますが、最終的には別の人になることができ、それを達成するのはそれほど難しくありません。
-user827992

2
-1証明書はセキュリティを提供します。それが彼らの主な機能です。
クリス
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.