웹 사이트에 SSL 인증서가 얼마나 중요합니까?

나는 내 자신의 프로젝트를 부트 스트랩하고 있는데, 그것은 등록 / 로그인 영역을 가지고있다 (RoR과의 고안을 통해 적절히 해시되고 소금을 뿌린다). 하위 도메인을 사용하고 있으며 iframe으로 액세스해야합니다 (정말로 정당합니다!) 하위 도메인을 포괄하는 고가의 인증서 중 하나가 필요합니다.

시간과 돈을 들이지 않고이 작업을 수행함에 따라 인증서에 수백 달러를 버리고 주저하지 않은 것에 몇 시간을 투자하는 것이 주저합니다. 이메일 주소와 비밀번호 외에 민감한 정보를 저장하지 않습니다. 내가 아는 한, 사용자가 암호화되지 않은 네트워크 (예 : 커피 숍)에서 로그인하거나 누군가가 네트워크를 수신하고있을 때 유일한 취약점이 발생합니다.

내가 싼가요? 이것이 야생으로 방출되기 전에 다루어야 할 것입니까? 출시 할 때 알림을 받도록 25,000 명의 사용자가 등록했음을 언급해야하므로 걱정이됩니다.

이 질문을받은 이후로 많은 변화가있었습니다. 사이트에 HTTPS가 필요합니까? 예!

1. 도메인 유효성 검사가 포함 된 인증서에는 Let 's Encrypt와 같은 많은 공급자 가 없습니다 . 이 증명서는 귀하가 돈을 지불하는 것만 큼 좋습니다. 서버 이름 식별 덕분에 IP 주소를 소유 할 필요가 없습니다.

2. 브라우저는 비 HTTPS 페이지를 중립이 아닌 안전하지 않은 것으로 표시 하고 있습니다. 사이트가 안전하지 않은 것으로 표시되는 것은 좋지 않습니다.

3. 최신 웹 기술에는 암호화가 필요합니다. Chrome에서 HTTPS 사이트에만 새로운 기능을 사용하도록 설정하는 정책, HTTPS 사이트에 대해 Google이 선호하는 순위 또는 암호화 된 HTTP / 2가 일반 텍스트 HTTP / 1.1보다 빠르 더라도 Chrome 은 테이블에 기회를 남기고 있습니다. 예, 암호화는 서버에로드를 추가하지만 대부분의 사이트에서는 눈에 띄지 않으며 특히 사용자에게는 눈에 띄지 않습니다.

4. 프라이버시는 그 어느 때보 다 중요합니다. 모든 연결을 통해 클릭 스트림을 판매하는 ISP 든 비밀 서비스 든 상관없이 모든 커뮤니케이션을 공개적으로 공개 할 이유는 없습니다. 기본적으로 HTTPS를 사용하고 전송 된 정보가 안전하게 공개 될 수 있고 변조 될 수있는 경우에만 HTTP를 사용하십시오.

   비밀번호는 일반 텍스트 연결을 통해 전송되지 않아야합니다.

   EU-GDPR과 같은 일부 규정에 따라 일반적으로 웹 사이트에 대한 HTTPS를 포함하는 최신 보안 조치를 구현해야합니다.

솔루션이 아닌 몇 가지가 있습니다.

• “비밀번호 대신 OAuth 사용”에는 여전히 비밀번호와 유사한 토큰이 있다는 점이 누락되었습니다. 최소한 사용자에게는 임시 암호 역할을하므로 보호해야하는 세션 쿠키가 있습니다.

• 자체 서명 된 인증서는 브라우저에서 거부됩니다. 예외를 추가 할 수는 있지만 대부분의 사용자는이를 수행 할 수 없습니다. 자체 서명 된 인증서를 제시하는 것은 유효하지 않은 인증서를 사용하여 MITM 공격과 구분할 수 없습니다.

따라서 인증서는 무료이며 HTTPS를 통해 사이트를 더 빠르게 만들 수 있습니다. 더 이상 유효한 변명이 없습니다. 다음 단계 : HTTPS로 마이그레이션에 대한이 안내서를 읽으 십시오 .

하나 사 겠어요 인증서 비용은 사용자에게 제공하는 신뢰 수준과 크게 다르지 않습니다. 그것을 투자라고 생각하십시오. 응용 프로그램이 안전하지 않은 것으로 보이면 (그리고 올바르게 서명 된 SSL 인증서가 웹 사이트가 안전하다고 가정 할 경우) 사람들은 향후 제품 사용에 대한 관심을 잃을 수 있습니다.

전자 메일과 암호를 "수집"하는 경우 자금을 투입하기 전에 자신의 인증서 OpenSSL (http://www.openssl.org/)을 만들어보십시오.

그러나...

이것은 웹 사이트 사용자가 인정 / 수락 된 인증서가 아니기 때문에 경고를받을 수 있기 때문에 "일을 시도"하기 위해 할 수있는 일입니다.

이메일과 비밀번호는 다른 종류의 노출로 이어질 수있는 매우 민감한 개인 데이터이기 때문에 SSL에 투자하는 것이 좋습니다. CC 데이터, 다른 온라인 서비스에 대한 모든 액세스 정보를 포함하여 데이터가 노출되며 신은 다른 것을 알고 있습니다 ...)

우리는 안전하고 신뢰할 수있는 웹이 필요하며 수십 달러는 사용자 보안을위한 작은 가격입니다. (SSL만큼이나 기본적 임)

보안 문제

내가 아는 한, 사용자가 암호화되지 않은 네트워크 (예 : 커피 숍)에서 로그인하거나 누군가가 네트워크를 수신하고있을 때 유일한 취약점이 발생합니다.

이것은 사실이 아닙니다. 사용자와 웹 사이트간에 전송 된 데이터는 절대 안전하지 않습니다. 예를 들어, http://www.pcmag.com/article2/0,2817,2406837,00.asp 는 사람들의 DNS 설정을 변경 한 바이러스의 사례를 자세히 설명합니다. 현재의 네트워크가 아무리 잘 보호 되더라도 인터넷에 제출 된 내용은 여러 서버를 거쳐 전송됩니다. 그들 중 하나는 악성 일 수 있습니다.

SSL 인증서를 사용하면 서버에서만 해독 할 수있는 단방향 암호화로 데이터를 암호화 할 수 있습니다. 따라서 데이터가 어디로 이동하든 서버로 이동하는 사람이 누구도 데이터를 읽을 수 없습니다.

대부분의 경우 이는 호스팅에 따라 다르므로 인증서 설치가 쉽지 않습니다. 대부분의 제공자가 귀하를 대신하여 설치합니다.

SSL 인증서 유형

일부 답변에서 언급했듯이 자체 SSL 인증서를 만들 수 있습니다. SSL 인증서는 공개 및 개인 키 쌍일뿐입니다. 서버는 공개 키를 제공하고 클라이언트는이를 사용하여 전송하는 데이터를 암호화하며 서버의 개인 키만 해독 할 수 있습니다. OpenSSL은 자신 만의 고유 한 도구입니다.

서명 된 SSL 인증서

인증 기관에서 인증서를 구매하면 다른 수준의 보안 및 신뢰가 추가됩니다. 다시 말하지만, 누군가 클라이언트 브라우저와 웹 서버 사이에 앉아있을 수 있습니다. 그들은 단순히 클라이언트에게 자신의 공개 키를 제공하고, 개인 키로 정보를 해독하고, 공개 키로 다시 암호화하여 사용자와 사용자 모두에게 전달하지 않으면됩니다.

사용자가 서명 된 인증서를 받으면 브라우저가 인증 공급자 (Verisign 등)에 연결하여받은 공개 키가 실제로 웹 사이트의 키인지, 변조되지 않았는지 확인합니다.

예, 사이트에 서명 된 SSL 인증서가 있어야합니다. 보다 전문적으로 보이고 사이트 사용에 대한 사용자의 마음을 사로 잡으며 가장 중요한 것은 데이터 도난으로부터 사용자를 보호합니다.

이 문제의 핵심 인 Man In The Middle 공격에 대한 추가 정보. http://en.wikipedia.org/wiki/Man-in-the-middle_attack

암호는 개인 정보로 취급해야합니다. 솔직히 암호를 다시 사용하면 SSN보다 더 중요합니다.

그 설명과 설명을 들어, 왜 암호를 전혀 저장하지 않는지 궁금합니다 ...

OpenID를 사용하고 자신의 로그인이 필요하다고 생각되면 단일 하위 도메인을 만들고 다른 곳에서 OpenID를 사용하십시오.

OpenID를 사용하지 않으면 동일한 login.yourdomain 패턴을 사용하여 와일드 카드 인증서가 필요하지 않지만, 오늘 말했듯이 오늘날의 암호는 적어도 SSN / 생일만큼 민감합니다. 수집하지 마십시오. 당신이 필요하지 않은 경우.

Trustico를 통한 RapidSSL은 30 달러에 불과하거나 160 달러 미만의 가격으로 RapidSSL 와일드 카드를받을 수 있습니다. 또한 가격이 보장되므로 가격이 더 저렴할 경우 일치합니다.

고유 한 IP가있는 경우 특히 원격으로 민감한 데이터를 처리하는 경우 인증서를받을 수도 있습니다. StartSSL 에서 무료로 신뢰할 수있는 인증서를 얻을 수 있기 때문에 인증서가 없는 이유는 없습니다.

하나를 사는 것이 현명 할 것입니다. 언급 한 바와 같이, ALL about end user trust귀하의 웹 사이트에 있습니다.

so I'm hesitant to drop a couple of hundreds on a certificate -그것은 비싸지 않으며 $ 50 미만의 것을 얻을 수 있습니다.

SSL-사이트를 보호하고 사이트 방문자에게 자신감을 심어주는 것이 중요합니다. 로그인 프로세스와 관련하여 OAuth 를 사용하지 않는 이유는 무엇입니까? 이 기능은 웹 사이트 등록 에 시간을 소비하는 사용자의 번거 로움을 건너 뜁니다 . 웹 사이트 사용자 트래픽은 실제로 그 혜택을 누릴 것입니다. 진지하게! 연구 할 시간을 찾으십시오 .

일반적인 SSL 질문에 대한 좋은 참고 자료 -SSL 인증서에 관한 모든 것

또한 로그인에 타사 공급자 (예 : openid)를 사용하는 방법에 대해서도 생각합니다. 대부분의 CMS는 이미이를 지원합니다.

SSL에는 단점이 있습니다. 웹 사이트 속도가 느려집니다. 정말.

사람들이 SSL 인증서를 사용하는 유일한 이유는 고객의 돈이 관련되어 있기 때문입니다.

고객의 돈과 관련이없는 경우 SSL 인증서 결정은 전적으로 비즈니스 지향적입니다.

고객을 위해 백엔드가 있고 웹 사이트에 돈이 없지만 고객이 안전하다는 것을 확신 해야하는 경우 반드시 인증서를 가져 가십시오. 고객의 신뢰를위한 투자입니다.

와일드 카드 SSL 인증서에 돈을 버리는 것이 가장 좋은 방법 일 수도 있고 그렇지 않을 수도 있습니다. Caddy 웹 서버 ( https://caddyserver.com/)를 살펴보십시오 . Let 's Encrypt의 무료 인증서를 잡는 데 도움이되는 멋진 기능이 많이 있습니다. 구성 파일에 모든 도메인을 지정하면 해당 도메인의 인증서를 가져옵니다. 또 다른 멋진 기능은 주문형 TLS입니다. 이를 활성화하면 새 도메인에 대한 요청을받을 때마다 인증서가없는 초기 TLS 핸드 셰이크 중에 하나를 가져옵니다. 즉, 문자 그대로 수천 개의 도메인을 가질 수 있으며 Caddy 구성에서 각 개별 도메인을 구성 할 필요가 없습니다.

참고 : 내 열정이 그렇게 보일 수 있지만, 제품의 열렬한 사용자가 아닌 다른 방식, 모양 또는 형태로 Caddy에 열중하지 않습니다.

그것은 모든 사용자에 관한 것이며, 어떤 종류의 보안도 제공하지 않으며, 인증서는 단지 판매하는 제품입니다.

이것 좀 봐봐

http://en.wikipedia.org/wiki/Comparison_of_SSL_certificates_for_web_servers