웹 사이트에 SSL 인증서가 얼마나 중요합니까?


14

나는 내 자신의 프로젝트를 부트 스트랩하고 있는데, 그것은 등록 / 로그인 영역을 가지고있다 (RoR과의 고안을 통해 적절히 해시되고 소금을 뿌린다). 하위 도메인을 사용하고 있으며 iframe으로 액세스해야합니다 (정말로 정당합니다!) 하위 도메인을 포괄하는 고가의 인증서 중 하나가 필요합니다.

시간과 돈을 들이지 않고이 작업을 수행함에 따라 인증서에 수백 달러를 버리고 주저하지 않은 것에 몇 시간을 투자하는 것이 주저합니다. 이메일 주소와 비밀번호 외에 민감한 정보를 저장하지 않습니다. 내가 아는 한, 사용자가 암호화되지 않은 네트워크 (예 : 커피 숍)에서 로그인하거나 누군가가 네트워크를 수신하고있을 때 유일한 취약점이 발생합니다.

내가 싼가요? 이것이 야생으로 방출되기 전에 다루어야 할 것입니까? 출시 할 때 알림을 받도록 25,000 명의 사용자가 등록했음을 언급해야하므로 걱정이됩니다.


1
하위 도메인을 다루려면 와일드 카드 인증서가 필요하기 때문입니다.
pritaeas

1
그러나 하위 도메인이 정말로 필요한가요? 단일 사이트처럼 보이도록 모든 종류의 (보안) 프록시를 모두 앞에 배치 할 수 있습니까?
Donal Fellows

3
출시를 기다리는 25,000 명의 사용자가 있다면 수백 달러를 소비해도 문제가되지 않습니다.
marco-fiset

2
많은 답변과 의견에도 불구하고 서명 된 SSL 인증서는 웹 사이트에서 데이터를 보호하는 데 필수적인 부분입니다. 연결 위치에 관계없이 사용자가 보거나 제출 한 모든 항목을 감시 할 수 있습니다.
Chris

2
@RyanKinal Uhh ... 표준 브라우저에서 실제로 작동하고 올바르게 확인됩니까? 나는의 무료로 제공되는 인증서 표시가 서명 키가 블랙리스트에있는 것이 어떤 CA 생각 것
TheLQ

답변:


5

이 질문을받은 이후로 많은 변화가있었습니다. 사이트에 HTTPS가 필요합니까? 예!

  1. 도메인 유효성 검사가 포함 된 인증서에는 Let 's Encrypt와 같은 많은 공급자 가 없습니다 . 이 증명서는 귀하가 돈을 지불하는 것만 큼 좋습니다. 서버 이름 식별 덕분에 IP 주소를 소유 할 필요가 없습니다.

  2. 브라우저는 비 HTTPS 페이지를 중립이 아닌 안전하지 않은 것으로 표시 하고 있습니다. 사이트가 안전하지 않은 것으로 표시되는 것은 좋지 않습니다.

  3. 최신 웹 기술에는 암호화가 필요합니다. Chrome에서 HTTPS 사이트에만 새로운 기능을 사용하도록 설정하는 정책, HTTPS 사이트에 대해 Google이 선호하는 순위 또는 암호화 된 HTTP / 2가 일반 텍스트 HTTP / 1.1보다 빠르 더라도 Chrome 은 테이블에 기회를 남기고 있습니다. 예, 암호화는 서버에로드를 추가하지만 대부분의 사이트에서는 눈에 띄지 않으며 특히 사용자에게는 눈에 띄지 않습니다.

  4. 프라이버시는 그 어느 때보 다 중요합니다. 모든 연결을 통해 클릭 스트림을 판매하는 ISP 든 비밀 서비스 든 상관없이 모든 커뮤니케이션을 공개적으로 공개 할 이유는 없습니다. 기본적으로 HTTPS를 사용하고 전송 된 정보가 안전하게 공개 될 수 있고 변조 될 수있는 경우에만 HTTP를 사용하십시오.

    비밀번호는 일반 텍스트 연결을 통해 전송되지 않아야합니다.

    EU-GDPR과 같은 일부 규정에 따라 일반적으로 웹 사이트에 대한 HTTPS를 포함하는 최신 보안 조치를 구현해야합니다.

솔루션이 아닌 몇 가지가 있습니다.

  • “비밀번호 대신 OAuth 사용”에는 여전히 비밀번호와 유사한 토큰이 있다는 점이 누락되었습니다. 최소한 사용자에게는 임시 암호 역할을하므로 보호해야하는 세션 쿠키가 있습니다.

  • 자체 서명 된 인증서는 브라우저에서 거부됩니다. 예외를 추가 할 수는 있지만 대부분의 사용자는이를 수행 할 수 없습니다. 자체 서명 된 인증서를 제시하는 것은 유효하지 않은 인증서를 사용하여 MITM 공격과 구분할 수 없습니다.

따라서 인증서는 무료이며 HTTPS를 통해 사이트를 더 빠르게 만들 수 있습니다. 더 이상 유효한 변명이 없습니다. 다음 단계 : HTTPS로 마이그레이션에 대한이 안내서를 읽으 십시오 .


귀하가 언급 한 이점으로 인해 사용자 등록 등을 처리하지 않더라도 요즘 트렌드는 사이트를 https로 전환하는 데 동의합니다. 나는 이것을 정답으로 선택하고 있습니다.
methodofaction

1
또한 HTTPS는 개인 정보 보호뿐만 아니라 무결성도 제공합니다. 암호화로 인해 당신은 또한 할 수 있는지 사용자가 실제로받은 데이터가 전송 된 길에 누군가에 의해 수정되지 않은 하나입니다
요하네스을

24

하나 사 겠어요 인증서 비용은 사용자에게 제공하는 신뢰 수준과 크게 다르지 않습니다. 그것을 투자라고 생각하십시오. 응용 프로그램이 안전하지 않은 것으로 보이면 (그리고 올바르게 서명 된 SSL 인증서가 웹 사이트가 안전하다고 가정 할 경우) 사람들은 향후 제품 사용에 대한 관심을 잃을 수 있습니다.


1
전체 SSL은 기술이없는 사람들에게 좋은 느낌입니다
Jakub

그리고 다른 측면에서 : SSL은 일반적인 사용자에게 '매우 나쁘고 의심스러운 느낌'이
아닙니다

서명 된 인증서 만 신뢰를 제공 할 수 있습니다. 서명 된 인증서 없이도 데이터를 도난 당할 수 있습니다. 중간 공격의 사람은 여전히 ​​클라이언트에게 잘못된 인증서를 제공하여 작동합니다.
Chris

포인터에 감사드립니다. 일반적인 합의는 SSL이 내가 감추어 야 할 것이 아니라고 지적하는 것 같습니다. 나는 StartSSL에서 무료 인증서를 설치 한 내가 실제로 시작할 때 와일드 카드 하나를 살 것이다 method.ac
methodofaction

5

전자 메일과 암호를 "수집"하는 경우 자금을 투입하기 전에 자신의 인증서 OpenSSL (http://www.openssl.org/)을 만들어보십시오.

그러나...

이것은 웹 사이트 사용자가 인정 / 수락 된 인증서가 아니기 때문에 경고를받을 수 있기 때문에 "일을 시도"하기 위해 할 수있는 일입니다.

이메일과 비밀번호는 다른 종류의 노출로 이어질 수있는 매우 민감한 개인 데이터이기 때문에 SSL에 투자하는 것이 좋습니다. CC 데이터, 다른 온라인 서비스에 대한 모든 액세스 정보를 포함하여 데이터가 노출되며 신은 다른 것을 알고 있습니다 ...)

우리는 안전하고 신뢰할 수있는 웹이 필요하며 수십 달러는 사용자 보안을위한 작은 가격입니다. (SSL만큼이나 기본적 임)


5

보안 문제

내가 아는 한, 사용자가 암호화되지 않은 네트워크 (예 : 커피 숍)에서 로그인하거나 누군가가 네트워크를 수신하고있을 때 유일한 취약점이 발생합니다.

이것은 사실이 아닙니다. 사용자와 웹 사이트간에 전송 된 데이터는 절대 안전하지 않습니다. 예를 들어, http://www.pcmag.com/article2/0,2817,2406837,00.asp 는 사람들의 DNS 설정을 변경 한 바이러스의 사례를 자세히 설명합니다. 현재의 네트워크가 아무리 잘 보호 되더라도 인터넷에 제출 된 내용은 여러 서버를 거쳐 전송됩니다. 그들 중 하나는 악성 일 수 있습니다.

SSL 인증서를 사용하면 서버에서만 해독 할 수있는 단방향 암호화로 데이터를 암호화 할 수 있습니다. 따라서 데이터가 어디로 이동하든 서버로 이동하는 사람이 누구도 데이터를 읽을 수 없습니다.

대부분의 경우 이는 호스팅에 따라 다르므로 인증서 설치가 쉽지 않습니다. 대부분의 제공자가 귀하를 대신하여 설치합니다.

SSL 인증서 유형

일부 답변에서 언급했듯이 자체 SSL 인증서를 만들 수 있습니다. SSL 인증서는 공개 및 개인 키 쌍일뿐입니다. 서버는 공개 키를 제공하고 클라이언트는이를 사용하여 전송하는 데이터를 암호화하며 서버의 개인 키만 해독 할 수 있습니다. OpenSSL은 자신 만의 고유 한 도구입니다.

서명 된 SSL 인증서

인증 기관에서 인증서를 구매하면 다른 수준의 보안 및 신뢰가 추가됩니다. 다시 말하지만, 누군가 클라이언트 브라우저와 웹 서버 사이에 앉아있을 수 있습니다. 그들은 단순히 클라이언트에게 자신의 공개 키를 제공하고, 개인 키로 정보를 해독하고, 공개 키로 다시 암호화하여 사용자와 사용자 모두에게 전달하지 않으면됩니다.

사용자가 서명 된 인증서를 받으면 브라우저가 인증 공급자 (Verisign 등)에 연결하여받은 공개 키가 실제로 웹 사이트의 키인지, 변조되지 않았는지 확인합니다.

예, 사이트에 서명 된 SSL 인증서가 있어야합니다. 보다 전문적으로 보이고 사이트 사용에 대한 사용자의 마음을 사로 잡으며 가장 중요한 것은 데이터 도난으로부터 사용자를 보호합니다.

이 문제의 핵심 인 Man In The Middle 공격에 대한 추가 정보. http://en.wikipedia.org/wiki/Man-in-the-middle_attack


2

암호는 개인 정보로 취급해야합니다. 솔직히 암호를 다시 사용하면 SSN보다 더 중요합니다.

그 설명과 설명을 들어, 왜 암호를 전혀 저장하지 않는지 궁금합니다 ...

OpenID를 사용하고 자신의 로그인이 필요하다고 생각되면 단일 하위 도메인을 만들고 다른 곳에서 OpenID를 사용하십시오.

OpenID를 사용하지 않으면 동일한 login.yourdomain 패턴을 사용하여 와일드 카드 인증서가 필요하지 않지만, 오늘 말했듯이 오늘날의 암호는 적어도 SSN / 생일만큼 민감합니다. 수집하지 마십시오. 당신이 필요하지 않은 경우.


1

Trustico를 통한 RapidSSL은 30 달러에 불과하거나 160 달러 미만의 가격으로 RapidSSL 와일드 카드를받을 수 있습니다. 또한 가격이 보장되므로 가격이 더 저렴할 경우 일치합니다.


1

고유 한 IP가있는 경우 특히 원격으로 민감한 데이터를 처리하는 경우 인증서를받을 수도 있습니다. StartSSL 에서 무료로 신뢰할 수있는 인증서를 얻을 수 있기 때문에 인증서가 없는 이유는 없습니다.


1

하나를 사는 것이 현명 할 것입니다. 언급 한 바와 같이, ALL about end user trust귀하의 웹 사이트에 있습니다.

so I'm hesitant to drop a couple of hundreds on a certificate -그것은 비싸지 않으며 $ 50 미만의 것을 얻을 수 있습니다.

SSL-사이트를 보호하고 사이트 방문자에게 자신감을 심어주는 것이 중요합니다. 로그인 프로세스와 관련하여 OAuth 를 사용하지 않는 이유는 무엇입니까? 이 기능은 웹 사이트 등록시간을 소비하는 사용자의 번거 로움을 건너 뜁니다 . 웹 사이트 사용자 트래픽은 실제로 그 혜택을 누릴 것입니다. 진지하게! 연구 할 시간을 찾으십시오 .

일반적인 SSL 질문에 대한 좋은 참고 자료 -SSL 인증서에 관한 모든 것


0

또한 로그인에 타사 공급자 (예 : openid)를 사용하는 방법에 대해서도 생각합니다. 대부분의 CMS는 이미이를 지원합니다.


-1

SSL에는 단점이 있습니다. 웹 사이트 속도가 느려집니다. 정말.

사람들이 SSL 인증서를 사용하는 유일한 이유는 고객의 돈이 관련되어 있기 때문입니다.

고객의 돈과 관련이없는 경우 SSL 인증서 결정은 전적으로 비즈니스 지향적입니다.

고객을 위해 백엔드가 있고 웹 사이트에 돈이 없지만 고객이 안전하다는 것을 확신 해야하는 경우 반드시 인증서를 가져 가십시오. 고객의 신뢰를위한 투자입니다.


3
-1 : 사용자가 등록 및 로그인을 위해 비밀번호와 같은 민감한 데이터를 제출할 때는 항상 SSL 인증서를 사용해야합니다. 돈이 필요할 때만이 아닙니다.
marco-fiset

2
동의하지 않습니다. 비즈니스 관점에서 볼 때 분명히 필요하지 않습니다. 답변에서 언급했듯이 고객의 돈과 관련된 경우에만 SSL 인증서를 구입하십시오.
Florian Margaine

3
@Florian : SE는 개인 정보를 요구하지만 암호화하지 않으면 깨진 웹 사이트입니다. 이 거대한, 특히 프로그래머를 대상으로하는 사이트 네트워크는 더 잘 알고 있어야합니다. 나를 위해, 그들은 BTW SSL을 사용 하는 내 OpenID 공급자로 리디렉션 합니다. 문제는 그 파손이 고칠 가치가 있는지의 여부입니다. 그리고 실제로 개인 정보가없는 SO와 같은 사이트 (암호 및 전자 메일 주소 제외)는 그렇지 않은 것으로 결정했을 수 있습니다. 그러나 그것은 단지 "CC 번호가 없습니까? 그렇다면 SSL을 조이십시오"라고 말하는 것이 아니라 결정과 함께 살아야 할 결정입니다.
cHao

1
SSL이 없기 때문에 바보가되었지만 가입 양식이 실제로 https 주소를 호출하는 iframe에 포함되어 있음이 밝혀졌습니다.
methodofaction

1
@FlorianMargaine-Google은 SSL에 대한 귀하의 주장이 귀하의 웹 사이트 속도를 저하시키는 것으로 입증되었습니다.
Ramhound

-1

와일드 카드 SSL 인증서에 돈을 버리는 것이 가장 좋은 방법 일 수도 있고 그렇지 않을 수도 있습니다. Caddy 웹 서버 ( https://caddyserver.com/)를 살펴보십시오 . Let 's Encrypt의 무료 인증서를 잡는 데 도움이되는 멋진 기능이 많이 있습니다. 구성 파일에 모든 도메인을 지정하면 해당 도메인의 인증서를 가져옵니다. 또 다른 멋진 기능은 주문형 TLS입니다. 이를 활성화하면 새 도메인에 대한 요청을받을 때마다 인증서가없는 초기 TLS 핸드 셰이크 중에 하나를 가져옵니다. 즉, 문자 그대로 수천 개의 도메인을 가질 수 있으며 Caddy 구성에서 각 개별 도메인을 구성 할 필요가 없습니다.

참고 : 내 열정이 그렇게 보일 수 있지만, 제품의 열렬한 사용자가 아닌 다른 방식, 모양 또는 형태로 Caddy에 열중하지 않습니다.


-4

그것은 모든 사용자에 관한 것이며, 어떤 종류의 보안도 제공하지 않으며, 인증서는 단지 판매하는 제품입니다.

이것 좀 봐봐

http://en.wikipedia.org/wiki/Comparison_of_SSL_certificates_for_web_servers


나는 당신이 말하는 것이 옳다고 생각하지 않습니다. 인증서는 보안을 제공하지 않지만 ID를 제공하며 개체를 식별 할 수있는 것이 첫 번째 보안 수준입니까?
Ozair Kafray

누가 알아? 어떻게? "Stuff"라는 회사가있는 경우 인증서를 구매하고 "Stuff"기간으로 인식됩니다. "랜덤"이라고 말하면 "랜덤"으로 인식됩니다. 이 사람들이 인터넷을 통해 경찰관이되는 데 최소한의 관심이 있다고 생각하십니까?
user827992

아니요. 그러나 최근에 vcred.com 제품에 대한 인증서를 구입했으며 geotrust는 riksof.com이라는 회사로 우리를 확인하는 데 3 개월이 걸렸습니다. 파키스탄, 다른 나라의 경우 시간이 덜 걸리기 때문입니다. 왜냐하면 그들은 우리를 확인하기 때문입니다. 나는 verisign도 엄격한 검증 과정을 거칠 것이라고 생각합니다. 그래서 그들은 단지 내 견해로는 제품으로 판매하지 않습니다. 인증서를 직접 생성 한 다음 CA가 없는지 쉽게 확인할 수 있습니다.
Ozair Kafray

이 회사는 예외입니다. 또한 구매하는 인증서의 종류에 따라 다르지만 결국 다른 사람이 될 수 있으며 그렇게하기가 어렵지 않습니다.
user827992

2
-1 인증서는 보안을 제공합니다. 이것이 그들의 주요 기능입니다.
Chris
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.