¿Qué tan importante es un certificado SSL para un sitio web?

Estoy arrancando mi propio proyecto, tiene un área de registro / inicio de sesión (a través de un dispositivo con RoR, correctamente procesado y salado, por supuesto). Como estoy usando subdominios y necesito acceder a ellos con iframes (¡está justificado, de verdad!) Necesitaría uno de esos costosos certificados que cubren subdominios.

Como estoy haciendo esto por mi propio tiempo y dinero, dudo en dejar un par de cientos en un certificado, más un par de horas profundizando en algo que no he probado antes. No estoy almacenando ninguna información confidencial además de la dirección de correo electrónico y la contraseña. Según tengo entendido, la única vulnerabilidad ocurre cuando un usuario inicia sesión o se registra desde una red no encriptada (como una cafetería) y alguien escucha la red.

¿Estoy siendo barato? ¿Es algo que debo abordar antes de lanzarme a la naturaleza? Probablemente debería mencionar que tengo 25,000 usuarios registrados para recibir una notificación cuando lo lance, así que estoy nervioso por eso.

En el tiempo transcurrido desde que se hizo esta pregunta, muchas cosas han cambiado. ¿Su sitio necesita HTTPS? ¡SI!

1. Los certificados con validación de dominio están libres de muchos proveedores, por ejemplo, Let's Encrypt. Estos certificados son tan buenos como aquellos por los cuales paga dinero. Gracias a la identificación del nombre del servidor, no es necesario tener una dirección IP.

2. Los navegadores marcan cada vez más las páginas que no son HTTPS como inseguras , en lugar de neutrales. Tener su sitio marcado como inseguro no se ve bien.

3. Las tecnologías web modernas requieren encriptación. Si se trata de la política de Chrome de habilitar solo nuevas funciones para sitios HTTPS, la clasificación preferida de Google para sitios HTTPS o HTTP / 2 cifrado es más rápido que el texto sin formato HTTP / 1.1 , está dejando oportunidades sobre la mesa. Sí, el cifrado agrega carga a sus servidores, pero esto es imperceptible para la mayoría de los sitios, y particularmente para los usuarios.

4. La privacidad es más importante que nunca. Ya sea que los ISP vendan su flujo de clics o servicios secretos que examinen todas sus conexiones, no hay una buena razón para dejar cualquier comunicación públicamente visible. Use HTTPS de manera predeterminada, y solo use HTTP si está seguro de que cualquier información transmitida puede ser pública de manera segura y puede ser manipulada.

   Tenga en cuenta que las contraseñas no deben transmitirse a través de conexiones de texto sin formato.

   Según algunas reglamentaciones, como el GDPR de la UE, debe implementar medidas de seguridad de última generación, que generalmente incluirían HTTPS para sitios web.

Hay un par de no soluciones:

• "Usar OAuth en lugar de contraseñas" no entiende que todavía hay tokens similares a las contraseñas. Como mínimo, sus usuarios tendrán una cookie de sesión que debe protegerse, ya que sirve como una contraseña temporal.

• Los certificados autofirmados son rechazados por los navegadores. Es posible agregar una excepción, pero la mayoría de los usuarios no podrán hacerlo. Tenga en cuenta que presentar un certificado autofirmado es indistinguible para el usuario de un ataque MITM utilizando un certificado no válido.

Entonces: los certificados son gratuitos y HTTPS puede hacer que su sitio sea más rápido. Ya no hay ninguna excusa válida. Próximos pasos: lea esta guía sobre la migración a HTTPS .

Yo compraría uno. El costo del certificado no es tan grande considerando el nivel de confianza que brinda a los usuarios. Piensa en ello como una inversión. Si sus aplicaciones no parecen ser seguras (y los certificados SSL debidamente firmados dan por sentado que un sitio web es seguro), las personas pueden perder interés en utilizar sus futuros productos.

Si "solo" reúne correos electrónicos y contraseñas, quizás desee intentar crear su propio certificado OpenSSL (http://www.openssl.org/) antes de comprometer fondos.

Pero...

Esto es algo que puede hacer para "probar cosas" porque los usuarios del sitio web recibirán una guerra ya que este no será un certificado reconocido / aceptado.

Mi consejo es invertir en SSL, simplemente porque el correo electrónico y las contraseñas son datos privados muy confidenciales que pueden dar lugar a otro tipo de exposiciones (digamos que uso el mismo pase para mi cuenta de correo electrónico; si esta información se filtra, entonces todo el correo electrónico los datos están expuestos, incluidos los datos de CC, toda la información de acceso que tengo para otros servicios en línea y Dios sabe qué más ...)

Necesitamos una WEB segura y confiable y unas pocas docenas de dólares es un pequeño precio a pagar por la seguridad del usuario. (incluso tan básico como SSL)

Preocupaciones de seguridad

Según tengo entendido, la única vulnerabilidad ocurre cuando un usuario inicia sesión o se registra desde una red no encriptada (como una cafetería) y alguien escucha la red.

Esto no es cierto, los datos transmitidos entre el usuario y su sitio web nunca son seguros. Solo como ejemplo, http://www.pcmag.com/article2/0,2817,2406837,00.asp detalla la historia de un virus que cambió la configuración de DNS de las personas. No importa cuán buena esté protegida su red actual, cualquier envío en Internet pasa por muchos servidores diferentes antes de llegar al suyo. Cualquiera de ellos puede ser malicioso.

Los certificados SSL le permiten cifrar sus datos de una manera que solo se puede descifrar en su servidor. Entonces, no importa dónde salten los datos en su camino a su servidor, nadie más puede leer los datos.

En la mayoría de los casos, y esto depende de su alojamiento, la instalación de un certificado es bastante sencilla. La mayoría de los proveedores lo instalarán por usted.

Tipos de certificados SSL

Como se señala en algunas respuestas, puede crear sus propios certificados SSL. Un certificado SSL es solo un emparejamiento de claves públicas y privadas. Su servidor entrega la clave pública, el cliente la usa para cifrar los datos que envía y solo la clave privada de su servidor puede descifrarla. OpenSSL es una buena herramienta para crear la suya.

Certificados SSL firmados

La compra de un certificado de una autoridad de certificación agrega otro nivel de seguridad y confianza. De nuevo, es posible que alguien pueda sentarse entre el navegador del cliente y su servidor web. Simplemente tendrían que darle al cliente su propia clave pública, descifrar la información con su clave privada, volver a cifrarla con su clave pública y pasársela a usted y ni el usuario ni usted lo sabrían.

Cuando el usuario recibe un Certificado firmado, su navegador se conectará al proveedor de autenticación (Verisign, etc.) para validar que la clave pública que recibió es de hecho la de su sitio web y que no ha habido ninguna alteración.

Entonces, sí, debe tener un certificado SSL firmado para su sitio. Te hace ver más profesional, les da a tus usuarios más tranquilidad al usar tu sitio y lo más importante te protege contra el robo de datos.

Más información sobre el ataque Man In The Middle que es el núcleo del problema aquí. http://en.wikipedia.org/wiki/Man-in-the-middle_attack

Las contraseñas deben tratarse como información personal: si se reutiliza la contraseña con franqueza, probablemente sea más sensible que un SSN.

Dado eso y su descripción, me pregunto por qué está almacenando una contraseña ...

Usaría OpenID y si siente la necesidad de tener su propio inicio de sesión, cree un solo subdominio para eso y use OpenID en cualquier otro lugar.

Si no va a hacer OpenID, aún puede utilizar el mismo patrón login.yourdomain para evitar que necesite un certificado comodín, pero como he dicho, en el actual contraseñas mundo está en por lo menos tan sensible como SSN / cumpleaños, no lo recoge si no tienes que hacerlo

RapidSSL a través de Trustico cuesta solo $ 30 o puede obtener un comodín RapidSSL por menos de $ 160; también tienen una garantía de precio, por lo que si lo encuentra más barato, lo igualarán.

Si tiene una IP única, también podría obtener un certificado, especialmente si maneja datos que son remotamente confidenciales. Dado que puede obtener certificados de confianza gratuitos de StartSSL , realmente no hay razón para no tener uno.

Sería prudente comprar uno. Como se mencionó, es ALL about end user trusta su sitio web.

so I'm hesitant to drop a couple of hundreds on a certificate - Bueno, no es caro y puede obtener uno por debajo de $ 50.

SSL: es realmente importante para asegurar su sitio y agregar un nivel de confianza a los visitantes de su sitio. En cuanto al proceso de inicio de sesión, ¿por qué NO utilizar OAuth ? Esta característica omitirá la molestia del usuario de pasar tiempo en el registro de su sitio web. El tráfico de usuarios del sitio web realmente se beneficiará de eso. ¡En serio !, encuentre tiempo para investigarlo .

Una buena referencia sobre preguntas SSL comunes: todo sobre los certificados SSL

También pensaría en usar un proveedor externo para el inicio de sesión (por ejemplo, openid). La mayoría de los CMS ya lo admiten.

Un SSL tiene inconvenientes. Se ralentiza su sitio web. De Verdad.

La única razón por la que las personas usan certificados SSL es cuando hay dinero de los clientes involucrados.

Si no está involucrando el dinero de sus clientes, la decisión de tomar un certificado SSL está orientada exclusivamente al negocio.

Si tiene un back-end para sus clientes, sin dinero involucrado en el sitio web, pero necesitan asegurarse de que sean seguros, entonces tomen un certificado. Es una inversión para la confianza de sus clientes.

Colocar algo de dinero en un certificado SSL comodín puede ser la mejor opción, o puede que no. Eche un vistazo al servidor web Caddy: https://caddyserver.com/ . Tiene muchas características agradables, especialmente el soporte incorporado para obtener certificados gratuitos de Let's Encrypt. Simplemente puede especificar todos sus dominios en su archivo de configuración y obtendrá certificados para ellos. La otra característica realmente genial es On-Demand TLS. Si lo habilita, cada vez que recibe una solicitud de un nuevo dominio para el que no tiene un certificado, lo toma durante el protocolo de enlace TLS inicial. Eso significa que puede tener literalmente miles de dominios y no tener que configurar cada uno en la configuración de Caddy.

Nota: Por mucho que parezca mi entusiasmo, no estoy afligido con Caddy de ninguna manera, excepto si soy un ávido usuario de su producto.

Se trata de los usuarios, no proporcionan ningún tipo de seguridad, los certificados son solo productos para vender.

Es posible que desee echar un vistazo a esto

http://en.wikipedia.org/wiki/Comparison_of_SSL_certificates_for_web_servers