【发布时间】:2009-08-27 08:32:16
【问题描述】:
很简单,一个网站必须满足什么条件才能需要 SSL 证书?
网站不是电子商务,但会获取用户信息、联系方式和活动信息。
即使技术上没有要求,SSL 是否只是为用户在网站中提供了额外的“信任”?
干杯
【问题讨论】:
【发布时间】:2009-08-27 08:32:16
【问题描述】:
当您从用户那里收集敏感信息时使用 SSL,其中 (IMO) 包括联系方式。就我个人而言,我尽量避免通过未加密的渠道提交有关我自己的个人详细信息。
最后,这是一个判断电话。但是,如果您要收集地址、电话号码、银行详细信息或任何可以物理追溯到用户的信息,我建议您使用 SSL。
显然,这仅适用于您的传输方式不安全(根据定义,互联网就是这样)的情况。如果您通过已经安全的渠道(如您信任您的用户的内部网络)运行您的网站,那么就没有多大意义了。
但是,如果您决定使用 SSL,请确保您获得了有效的签名证书!没有签名证书的 SSL 毫无意义,因为这意味着您的最终用户无法信任证书的真实性。不幸的是,这需要花钱,这就是为什么许多小型网站不打扰的原因。
SSL 完全是关于信任 - 证书由“受信任的”权威机构签署,因此用户可以确定他们正在与正确的证书持有者打交道(而不是执行中间人攻击的人) .显然,这种信任不是最终的——但它是为用户信息提供安全数据通道的附加步骤。
【讨论】:
我希望将 SSL 用于传输个人信息的任何网站的任何区域,例如登录、注册、账户设置、联系方式、用户信息。
查看显示的数据,问问自己是否愿意在没有任何保护的情况下将这些信息张贴在周围 - 从那里开始。
【讨论】:
每当您无法信任网络时 - 每当有人有机会窥探通过网络发送的任何内容(网络集线器、MITM 漏洞等)以及通过网络发送的任何内容时Wire 可能包含至少一小部分客户群不希望任何人访问的内容。
【讨论】:
有趣的是,SSL 结合了两个安全组件,它们是:
- 加密
- 标识
加密
人们通常使用 SSL,因为它对发送到服务器的数据进行加密。如果您要获取密码,这一点很重要,但如果您要获取信用卡信息,这一点至关重要。为此,通常人们只为该页面使用 SSL。这并不完美,因为您登陆的非安全页面可能已被欺骗,因此您已经在错误的站点上,因此是否加密并不重要。
这让我们...
识别
SSL 的标识组件也很有趣。例如,贝宝喜欢他们的证书,因为它应该“证明”贝宝购买了它。遗憾的是,尽管浏览器 UI 有所改进,但用户并不关心或注意到这一点。
很少有必要或值得获得用于识别(服务器)的证书,恕我直言,SSL 的两个组件应该分开(但这是另一回事:p)。但有些人可能会争辩说它很有用。我不是那些人中的一员。
【讨论】: