我正在为一家需要尽可能多的安全性的公司开发一个后端部分,因为他们会将敏感信息放入其中。
他们让我添加 SSL,我添加了(网站是用 codeigniter 编码的),但我不知道是否真的需要 SSL 证书。
考虑到该网站只能由一组两个不同的 IP 访问,我认为他们拥有的两个办公室不需要获得证书。我说的对吗?
2 月 24 日编辑: 数据有项目信息,客户名单,所以比较敏感。
所以我想我会使用自签名的 ssl。
谢谢大家
【问题讨论】:
标签: codeigniter ssl
除了之前回答过的问题之外,您还应该记住其他一些问题:
本网站的用户是否会在任何时候通过无线连接连接和传输这些敏感信息?如果是这种情况,那么是的,您需要 SSL。
HTTPS 不再像以前那样对服务器资源造成负担。尤其是在特定位置仅由有限数量的用户使用的网站,您当然应该能够提供最大数量的用户。
如果这是一个私人站点,并且成本是一个问题,请使用自签名证书。 OpenSSL 工具包是您最好的选择。提供了许多使用 OpenSSL 设置自签名证书的指南。
这些敏感数据是否涉及法律问题?如果您在客户数据库中传输客户信息,其中包含电话号码、邮政地址、电子邮件地址、登录信息 - 或者更严重的是信用卡号码 - 那么您需要 SSL。问问自己,您是否会信任在没有 SSL 的情况下传输您的相同信息的公司。
如果客户要求并为此付费,这对作为开发人员的您来说不是过度的负担,而且作为开发人员,您真的永远不想处于您争论的位置安全性较低。如果以后有问题,它会回来咬你。盖住你的臀部。
将此与 IP 受限访问相结合。如果可以,请在 Apache 配置级别执行此操作。如果没有,则使用 .htaccess 进行操作。为什么在 Apache 级别?同样,这涵盖了您的后端,以防您忘记将限制放在 .htaccess 中,或者以防其他人意外进入并删除它们。
如果有任何疑问,请使用 SSL。
【讨论】:
需要 SSL 证书,因为有人可以在前往您的服务器的途中读取请求内容。没有证书的网页不能添加https(检查浏览器页面地址是否有https协议)。
在开发阶段您可以自己生成SSL证书(使用openssl),无需购买有效的。浏览器会警告证书没有被任何机构签名,但我认为这不是什么大问题。
【讨论】:
如果您需要保护 clinet-server 通信(http 请求/响应标头和数据)不被窃听,那么您需要在您的服务器上安装 SSL,并使用 https 协议。当您想要隐藏用户凭据时,这很有用。
如果只是允许/禁用对提到的 IP 地址的访问,那么在 http 服务器配置(通常是 .htaccess)中限制它就足够了。
请记住,https 请求需要更多的服务器/客户端资源 (CPU),因此如果没有必要,不应使用它。
【讨论】: