¿Qué tan importante es un certificado SSL para un sitio web?

14

Estoy arrancando mi propio proyecto, tiene un área de registro / inicio de sesión (a través de un dispositivo con RoR, correctamente procesado y salado, por supuesto). Como estoy usando subdominios y necesito acceder a ellos con iframes (¡está justificado, de verdad!) Necesitaría uno de esos costosos certificados que cubren subdominios.

Como estoy haciendo esto por mi propio tiempo y dinero, dudo en dejar un par de cientos en un certificado, más un par de horas profundizando en algo que no he probado antes. No estoy almacenando ninguna información confidencial además de la dirección de correo electrónico y la contraseña. Según tengo entendido, la única vulnerabilidad ocurre cuando un usuario inicia sesión o se registra desde una red no encriptada (como una cafetería) y alguien escucha la red.

¿Estoy siendo barato? ¿Es algo que debo abordar antes de lanzarme a la naturaleza? Probablemente debería mencionar que tengo 25,000 usuarios registrados para recibir una notificación cuando lo lance, así que estoy nervioso por eso.

security ssl método de acción
fuente
1
Porque necesita un certificado comodín para cubrir sus subdominios.
pritaeas
1
¿Pero son realmente necesarios los subdominios? ¿Es posible poner algún tipo de proxy (seguro) delante de todos para que parezca un sitio único?
Donal Fellows
3
Si tiene 25,000 usuarios esperando su lanzamiento, entonces gastar algunos cientos de dólares no debería ser un problema.
marco-fiset
2
A pesar de muchas respuestas y comentarios, un certificado SSL firmado es una parte esencial de la seguridad de los datos en su sitio web. Cualquier cosa que el usuario vea o envíe puede ser espiada si no tiene una, independientemente de desde dónde se conecte.
Chris
2
@RyanKinal Uhh ... ¿esos realmente funcionan y se validan correctamente en los navegadores estándar? Pensé que cualquier CA que ofreciera certificados gratis tendría su clave de firma en la lista negra
TheLQ

Respuestas:

5

En el tiempo transcurrido desde que se hizo esta pregunta, muchas cosas han cambiado. ¿Su sitio necesita HTTPS? ¡SI!

  1. Los certificados con validación de dominio están libres de muchos proveedores, por ejemplo, Let's Encrypt. Estos certificados son tan buenos como aquellos por los cuales paga dinero. Gracias a la identificación del nombre del servidor, no es necesario tener una dirección IP.

  2. Los navegadores marcan cada vez más las páginas que no son HTTPS como inseguras , en lugar de neutrales. Tener su sitio marcado como inseguro no se ve bien.

  3. Las tecnologías web modernas requieren encriptación. Si se trata de la política de Chrome de habilitar solo nuevas funciones para sitios HTTPS, la clasificación preferida de Google para sitios HTTPS o HTTP / 2 cifrado es más rápido que el texto sin formato HTTP / 1.1 , está dejando oportunidades sobre la mesa. Sí, el cifrado agrega carga a sus servidores, pero esto es imperceptible para la mayoría de los sitios, y particularmente para los usuarios.

  4. La privacidad es más importante que nunca. Ya sea que los ISP vendan su flujo de clics o servicios secretos que examinen todas sus conexiones, no hay una buena razón para dejar cualquier comunicación públicamente visible. Use HTTPS de manera predeterminada, y solo use HTTP si está seguro de que cualquier información transmitida puede ser pública de manera segura y puede ser manipulada.

    Tenga en cuenta que las contraseñas no deben transmitirse a través de conexiones de texto sin formato.

    Según algunas reglamentaciones, como el GDPR de la UE, debe implementar medidas de seguridad de última generación, que generalmente incluirían HTTPS para sitios web.

Hay un par de no soluciones:

  • "Usar OAuth en lugar de contraseñas" no entiende que todavía hay tokens similares a las contraseñas. Como mínimo, sus usuarios tendrán una cookie de sesión que debe protegerse, ya que sirve como una contraseña temporal.

  • Los certificados autofirmados son rechazados por los navegadores. Es posible agregar una excepción, pero la mayoría de los usuarios no podrán hacerlo. Tenga en cuenta que presentar un certificado autofirmado es indistinguible para el usuario de un ataque MITM utilizando un certificado no válido.

Entonces: los certificados son gratuitos y HTTPS puede hacer que su sitio sea más rápido. Ya no hay ninguna excusa válida. Próximos pasos: lea esta guía sobre la migración a HTTPS .

amon
fuente
Estoy de acuerdo en que la tendencia hoy en día es https su sitio, incluso si no está manejando el registro de usuarios y demás, debido a los beneficios que menciona. Estoy seleccionando esto como la respuesta correcta.
methodofaction
1
Como complemento: HTTPS no solo brinda privacidad, sino también integridad. Debido al cifrado también se puede estar seguro de que los datos del usuario recibidos en realidad es el que fue enviado y no fue modificado por alguien en el camino
Johannes
24

Yo compraría uno. El costo del certificado no es tan grande considerando el nivel de confianza que brinda a los usuarios. Piensa en ello como una inversión. Si sus aplicaciones no parecen ser seguras (y los certificados SSL debidamente firmados dan por sentado que un sitio web es seguro), las personas pueden perder interés en utilizar sus futuros productos.

Andrzej Bobak
fuente
1
SSL en general es un "sentirse bien" para personas no tecnológicas
Jakub
y por otro lado: ningún SSL es un 'sentirse muy mal y sospechoso' para el usuario típico
Andrzej Bobak
Solo los certificados firmados pueden proporcionar confianza. Es posible tener datos robados sin un certificado firmado. Los ataques de Man in the middle todavía funcionan al proporcionar un certificado falso al cliente.
Chris
Gracias por los consejos, el consenso general parece indicar que un SSL no es algo en lo que deba escatimar. He instalado un certificado gratuito de StartSSL y compraré el comodín cuando lance el método
Ac
5

Si "solo" reúne correos electrónicos y contraseñas, quizás desee intentar crear su propio certificado OpenSSL (http://www.openssl.org/) antes de comprometer fondos.

Pero...

Esto es algo que puede hacer para "probar cosas" porque los usuarios del sitio web recibirán una guerra ya que este no será un certificado reconocido / aceptado.

Mi consejo es invertir en SSL, simplemente porque el correo electrónico y las contraseñas son datos privados muy confidenciales que pueden dar lugar a otro tipo de exposiciones (digamos que uso el mismo pase para mi cuenta de correo electrónico; si esta información se filtra, entonces todo el correo electrónico los datos están expuestos, incluidos los datos de CC, toda la información de acceso que tengo para otros servicios en línea y Dios sabe qué más ...)

Necesitamos una WEB segura y confiable y unas pocas docenas de dólares es un pequeño precio a pagar por la seguridad del usuario. (incluso tan básico como SSL)

Igal Zeifman
fuente
5

Preocupaciones de seguridad

Según tengo entendido, la única vulnerabilidad ocurre cuando un usuario inicia sesión o se registra desde una red no encriptada (como una cafetería) y alguien escucha la red.

Esto no es cierto, los datos transmitidos entre el usuario y su sitio web nunca son seguros. Solo como ejemplo, http://www.pcmag.com/article2/0,2817,2406837,00.asp detalla la historia de un virus que cambió la configuración de DNS de las personas. No importa cuán buena esté protegida su red actual, cualquier envío en Internet pasa por muchos servidores diferentes antes de llegar al suyo. Cualquiera de ellos puede ser malicioso.

Los certificados SSL le permiten cifrar sus datos de una manera que solo se puede descifrar en su servidor. Entonces, no importa dónde salten los datos en su camino a su servidor, nadie más puede leer los datos.

En la mayoría de los casos, y esto depende de su alojamiento, la instalación de un certificado es bastante sencilla. La mayoría de los proveedores lo instalarán por usted.

Tipos de certificados SSL

Como se señala en algunas respuestas, puede crear sus propios certificados SSL. Un certificado SSL es solo un emparejamiento de claves públicas y privadas. Su servidor entrega la clave pública, el cliente la usa para cifrar los datos que envía y solo la clave privada de su servidor puede descifrarla. OpenSSL es una buena herramienta para crear la suya.

Certificados SSL firmados

La compra de un certificado de una autoridad de certificación agrega otro nivel de seguridad y confianza. De nuevo, es posible que alguien pueda sentarse entre el navegador del cliente y su servidor web. Simplemente tendrían que darle al cliente su propia clave pública, descifrar la información con su clave privada, volver a cifrarla con su clave pública y pasársela a usted y ni el usuario ni usted lo sabrían.

Cuando el usuario recibe un Certificado firmado, su navegador se conectará al proveedor de autenticación (Verisign, etc.) para validar que la clave pública que recibió es de hecho la de su sitio web y que no ha habido ninguna alteración.

Entonces, sí, debe tener un certificado SSL firmado para su sitio. Te hace ver más profesional, les da a tus usuarios más tranquilidad al usar tu sitio y lo más importante te protege contra el robo de datos.

Más información sobre el ataque Man In The Middle que es el núcleo del problema aquí. http://en.wikipedia.org/wiki/Man-in-the-middle_attack

Chris
fuente
2

Las contraseñas deben tratarse como información personal: si se reutiliza la contraseña con franqueza, probablemente sea más sensible que un SSN.

Dado eso y su descripción, me pregunto por qué está almacenando una contraseña ...

Usaría OpenID y si siente la necesidad de tener su propio inicio de sesión, cree un solo subdominio para eso y use OpenID en cualquier otro lugar.

Si no va a hacer OpenID, aún puede utilizar el mismo patrón login.yourdomain para evitar que necesite un certificado comodín, pero como he dicho, en el actual contraseñas mundo está en por lo menos tan sensible como SSN / cumpleaños, no lo recoge si no tienes que hacerlo

jmoreno
fuente
1

RapidSSL a través de Trustico cuesta solo $ 30 o puede obtener un comodín RapidSSL por menos de $ 160; también tienen una garantía de precio, por lo que si lo encuentra más barato, lo igualarán.

Clint
fuente
1

Si tiene una IP única, también podría obtener un certificado, especialmente si maneja datos que son remotamente confidenciales. Dado que puede obtener certificados de confianza gratuitos de StartSSL , realmente no hay razón para no tener uno.

tylerl
fuente
1

Sería prudente comprar uno. Como se mencionó, es ALL about end user trusta su sitio web.

so I'm hesitant to drop a couple of hundreds on a certificate - Bueno, no es caro y puede obtener uno por debajo de $ 50.

SSL: es realmente importante para asegurar su sitio y agregar un nivel de confianza a los visitantes de su sitio. En cuanto al proceso de inicio de sesión, ¿por qué NO utilizar OAuth ? Esta característica omitirá la molestia del usuario de pasar tiempo en el registro de su sitio web. El tráfico de usuarios del sitio web realmente se beneficiará de eso. ¡En serio !, encuentre tiempo para investigarlo .

Una buena referencia sobre preguntas SSL comunes: todo sobre los certificados SSL

Yusubov
fuente
0

También pensaría en usar un proveedor externo para el inicio de sesión (por ejemplo, openid). La mayoría de los CMS ya lo admiten.

PBrando
fuente
-1

Un SSL tiene inconvenientes. Se ralentiza su sitio web. De Verdad.

La única razón por la que las personas usan certificados SSL es cuando hay dinero de los clientes involucrados.

Si no está involucrando el dinero de sus clientes, la decisión de tomar un certificado SSL está orientada exclusivamente al negocio.

Si tiene un back-end para sus clientes, sin dinero involucrado en el sitio web, pero necesitan asegurarse de que sean seguros, entonces tomen un certificado. Es una inversión para la confianza de sus clientes.

Florian Margaine
fuente
3
-1: SIEMPRE debe usar un certificado SSL cuando sus usuarios envíen datos confidenciales como contraseñas para el registro y el inicio de sesión. No solo cuando se trata de dinero.
marco-fiset
2
Estoy en desacuerdo. Desde el punto de vista comercial, claramente no es necesario. Solo compre un certificado SSL si, como se dice en la respuesta, está involucrando el dinero de los clientes.
Florian Margaine
3
@Florian: SE es un sitio web roto , si te pide información personal pero no la encripta. Una red de sitios tan grande, particularmente dirigida a programadores, debería conocerla mejor. Para mí, sin embargo, que redirigen a mi proveedor de OpenID, que por cierto hace uso de SSL. La pregunta es si vale la pena arreglar esa ruptura. Y para un sitio como SO que realmente no tiene ninguna información personal (aparte de la contraseña y la dirección de correo electrónico), tal vez hayan decidido que no lo es. Pero esa es una decisión que debe tomarse y vivirse, en lugar de simplemente decir "¿no hay números CC? Y luego atornillar SSL".
cHao
1
También me engañó la falta de SSL, pero resulta que el formulario de registro está realmente incrustado en un iframe que llama a una dirección https.
methodofaction
1
@FlorianMargaine: Google ha demostrado que sus reclamos de SSL ralentizan su sitio web como culpa.
Ramhound
-1

Colocar algo de dinero en un certificado SSL comodín puede ser la mejor opción, o puede que no. Eche un vistazo al servidor web Caddy: https://caddyserver.com/ . Tiene muchas características agradables, especialmente el soporte incorporado para obtener certificados gratuitos de Let's Encrypt. Simplemente puede especificar todos sus dominios en su archivo de configuración y obtendrá certificados para ellos. La otra característica realmente genial es On-Demand TLS. Si lo habilita, cada vez que recibe una solicitud de un nuevo dominio para el que no tiene un certificado, lo toma durante el protocolo de enlace TLS inicial. Eso significa que puede tener literalmente miles de dominios y no tener que configurar cada uno en la configuración de Caddy.

Nota: Por mucho que parezca mi entusiasmo, no estoy afligido con Caddy de ninguna manera, excepto si soy un ávido usuario de su producto.

Duncan X Simpson
fuente
-4

Se trata de los usuarios, no proporcionan ningún tipo de seguridad, los certificados son solo productos para vender.

Es posible que desee echar un vistazo a esto

http://en.wikipedia.org/wiki/Comparison_of_SSL_certificates_for_web_servers

usuario827992
fuente
No creo que lo que dices sea correcto. ¿Un certificado no proporciona seguridad, pero es una identidad, y poder identificar objetos es el primer nivel de seguridad?
Ozair Kafray
identificar quien? ¿cómo? si tiene una compañía llamada "Stuff", compra un certificado y es reconocido como "Stuff", punto. si dices que eres "Aleatorio" eres reconocido como "Aleatorio"; ¿Crees que estos tipos tienen un interés mínimo en ser policías en Internet?
user827992
No, pero recientemente compramos un certificado para nuestro producto vcred.com y, geotrust tardó 3 meses en verificarnos como una empresa que es riksof.com. Eso es para Pakistán, para otros países toman menos tiempo, y eso es porque nos verifican. Creo que verisign también tendría un estricto proceso de verificación. Por lo tanto, no lo venden solo como un producto en mi opinión. También se puede generar un certificado y luego se identifica fácilmente la ausencia de CA
Ozair Kafray
esta empresa es una excepción, también depende del tipo de certificado que esté comprando, pero al final puede ser otra persona y no es tan difícil lograrlo.
user827992
2
-1 Los certificados brindan seguridad. Esa es su función principal.
Chris