SSL - как и когда использовать его

Ответ 1

SSL требует довольно много дополнительного времени обработки. Для сайтов с низкой пропускной способностью дополнительная обработка, требуемая SSL, на самом деле не является заметной. Но для сайтов с интенсивным движением, таких как Facebook, Twitter и Flickr, загрузка, вызванная SSL, достаточно тяжела, чтобы им пришлось использовать специализированное оборудование для кодирования/декодирования SSL.

В принципе, да, имеет смысл минимизировать количество страниц, использующих SSL. Вот почему вы часто видите, что банковские сайты защищают только фактические страницы аккаунта через https. Домашняя страница/целевая страница обычно является обычным старым http.

С другой стороны, если вы действительно не являетесь сайтом вроде Twitter или Facebook или Gmail, беспокоиться об этом - это немного преждевременная оптимизация. Сначала сделайте это просто, если сможете. Помните об этой проблеме и будьте в курсе стратегий обновления, когда ваш сайт, наконец, получает интенсивный трафик.

У моего босса есть поговорка:

Это счастливая проблема. Сначала разрешите печальную проблему не имея достаточного количества пользователей, тогда вы были бы счастливы иметь проблему, которая требует реорганизации вашей архитектуры.

Ответ 2

Вы не шифруете сайт с помощью SSL. вы шифруете соединение. Поэтому, если у вас есть SSL для веб-сервера, просто добавляя https://, url будет шифровать соединение, а любая страница, на которую указывает URL-адрес, будет зашифрована во время транзита.

так https://www.website.com/index.html зашифрован и http://www.website.com/index.html НЕ зашифровано

Я предпочитаю, чтобы этого никогда не было, поэтому я всегда помещаю свои зашифрованные страницы в субдомен, например. https://secure.website.com/index.html

SSL поставляется с несколькими запросами

1/базовый сертификат SSL будет действителен только для определенного имени домена, поэтому, если сертификат для www.website.com и кто-то следует за ссылкой на веб-сайт, будет отображаться предупреждение. (см. примечание ниже)

2/SSL требует выделенный IP-адрес (который у вас есть). это означает, что у вас могут быть проблемы, если вы находитесь на общей платформе. это связано с тем, что в HTTP хост или доменное имя является частью заголовков, но заголовки шифруются, поэтому сервер не может знать, куда направлять запрос. (см. примечание ниже)

Похоже, вам действительно нужно использовать службы, знакомые с электронной коммерцией и SSL, чтобы помочь вам. Навигация по минному месторождению с ограниченными знаниями и ответами в форуме - это не самая безопасная вещь. особенно если финансовые транзакции происходят, поскольку существуют другие требования, которые необходимо учитывать, такие как юридические требования при хранении и использовании финансовой информации, такой как номера кредитных карт.

DC

Приложение:

Пожертвования рассматривают Paypal. У них есть полное решение для пожертвований, и больше людей доверяют ему, чем откатывают собственное решение.

EDIT 2016: Мир движется дальше, и некоторые из приведенных выше советов не так верны, как это было при первоначальном ответе.

SSL больше не требует выделенного IP-адреса. SNI (название сервера) разрешает это и сейчас почти универсально (IE8 на winXP не поддерживает его и несколько телефонов).

В настоящее время большинство поставщиков сертификатов включают основное имя домена в качестве SAN (альтернативное имя объекта) в сертификате. Иными словами, они предоставят сертификат для сайта www.website.moc и website.moc, если вы получите сертификат на www.website.moc. Не предполагайте этого, убедитесь, что ваш центр сертификации указывает его.

Ответ 3

также вы упомянули, что SSL-сертификат защищает IP-адрес. Это неверно. Сертификат SSL соответствует домену. Существует много схем, в которых несколько доменов имеют один IP-адрес. Если в одном из этих общих доменов есть сертификат SSL, этот сертификат подходит только для этого домена, а не для других.

Ответ 4

Безопасность файлов cookie - это то, что я хотел бы указать на ваш подход.

Пользователь, который входит в систему на своей защищенной странице входа, получает cookie для своей сессии, не так ли? Затем этот куки файл передается в виде обычного текста, чтобы кто-то наблюдал за проводом (Firesheep), чтобы перехватить и украсть сеанс.

В период времени согласования и загрузки процессора с SSL существуют дополнительные накладные расходы, но они минимальны. Если на вашем сайте есть что-то чувствительное, просто используйте SSL везде.

Ответ 5

Другие ответы неточны в этом отношении: SSL-сертификат привязывает к BOTH выделенный IP-адрес, которому присваивается статическое одно доменное имя, если вы не приобрели SSL с wild card. И имя домена, и IP должны соответствовать сертификату.