SSL证书对网站有多重要？

我正在引导自己的项目，它有一个注册/登录区域（通过RoR进行设计，当然经过适当的哈希处理和加盐处理）。当我使用子域时，我需要使用iframe访问它们（这确实是有道理的！），我需要涵盖子域的那些昂贵的证书之一。

由于我是用自己的时间和金钱来执行此操作的，所以我不愿意将几百张证书丢掉，再花几个小时研究以前从未尝试过的内容。除了电子邮件地址和密码，我没有存储任何敏感信息。据我了解，唯一的漏洞发生在用户从未加密的网络（例如咖啡店）登录或注册并且有人在监听网络时。

我便宜吗？在放任野蛮之前，我应该解决这个问题吗？我可能应该提到，我有25,000个用户注册了，当我启动时会收到通知，所以我对此感到紧张。

自问这个问题以来，发生了很多变化。您的网站需要HTTPS吗？是！

1. 具有域验证的证书可从许多提供商那里免费获得，例如，让我们加密。这些证书与您付款的证书一样好。由于具有服务器名称标识，因此无需拥有IP地址。

2. 浏览器越来越多地将非HTTPS页面标记为不安全，而不是中立的。将您的网站标记为不安全看起来不太好。

3. 现代网络技术需要加密。无论是Chrome的政策是仅对HTTPS网站启用新功能，还是Google对HTTPS网站的首选排名，还是加密的HTTP / 2的速度都比纯文本HTTP / 1.1的速度快，您都将面临很多机会。是的，加密确实会增加服务器的负载，但是对于大多数站点而言这是不明显的，尤其是对于用户而言并不明显。

4. 隐私比以往任何时候都重要。无论是ISP出售您的点击流，还是秘密服务在您的所有连接中进行筛选，都没有充分的理由将任何通信公开可见。默认情况下使用HTTPS，只有在您确定任何传输的信息可以安全地公开并且可能被篡改时，才使用HTTP。

   请注意，不得通过明文连接传输密码。

   根据某些法规（例如EU-GDPR），您需要实施最新的安全措施，其中通常包括网站的HTTPS。

有几个非解决方案：

• “使用OAuth代替密码”忽略了仍然涉及类似密码的令牌这一点。至少，您的用户将拥有一个必须受保护的会话cookie，因为它用作临时密码。

• 自签名证书被浏览器拒绝。可以添加一个异常，但是大多数用户将无法执行该操作。请注意，提供自签名证书与使用无效证书的MITM攻击对用户没有区别。

因此：证书是免费的，HTTPS可以使您的站点更快。不再有任何有效的借口。后续步骤：阅读有关迁移到HTTPS的指南。

我会买一个。考虑到证书提供给用户的信任级别，证书的成本并不是很大。将其视为一项投资。如果您的应用程序似乎不安全（并且正确签名的SSL证书假设网站是安全的），人们可能会失去使用您未来产品的兴趣。

如果您只是“收集”电子邮件和密码，则可能要在投入任何资金之前尝试创建自己的证书OpenSSL（http://www.openssl.org/）。

但...

这只是您可以“尝试”的方法，因为网站用户将获得认可，因为它不是公认的/可接受的证书。

我的建议是投资SSL，仅仅是因为电子邮件和密码是非常敏感的私人数据，可能导致其他风险（例如，我对我的电子邮件帐户使用相同的通行证-如果此信息泄漏出去，则所有电子邮件数据已公开，包括CC数据，我对其他在线服务的任何和所有访问信息，上帝知道还有什么...）

我们需要一个安全且可信赖的WEB，几十美元是支付用户安全的很小的代价。（甚至与SSL基本一样）

安全问题

据我了解，唯一的漏洞发生在用户从未加密的网络（例如咖啡店）登录或注册并且有人在监听网络时。

这是不正确的，在用户和您的网站之间传输的数据永远都不安全。仅作为示例，http：//www.pcmag.com/article2/0,2817,2406837,00.asp详细说明了改变人们的DNS设置的病毒故事。无论您当前的网络受到多么好的保护，Internet上的任何提交都必须经过许多不同的服务器才能到达您的服务器。其中任何一个都可能是恶意的。

SSL证书使您可以通过一种只能在服务器上解密的加密方式来加密数据。因此，无论数据从何处跳到服务器，其他任何人都无法读取数据。

在大多数情况下，这取决于您的托管，证书的安装相当简单。大多数提供商都会为您安装它。

SSL证书类型

如某些答案所述，您可以创建自己的SSL证书。SSL证书只是公钥和私钥对。您的服务器发出公共密钥，客户端使用它来加密发送的数据，只有服务器上的私有密钥才能解密它。OpenSSL是用于创建自己的好工具。

签名的SSL证书

从证书颁发机构购买证书可提高安全性和信任度。同样，有人可能会坐在客户端浏览器和您的Web服务器之间。他们只需要给客户自己的公钥，用他们的私钥解密信息，用您的公钥重新加密，然后传递给您，用户和您都不知道。

当用户收到签名证书时，他们的浏览器将连接到身份验证提供程序（Verisign等），以验证他们收到的公钥实际上是您网站的公钥，并且没有被篡改。

因此，是的，您应该为您的网站拥有一个签名SSL证书。它使您看起来更加专业，使您的用户在使用您的网站时更加放心，最重要的是可以防止数据被盗。

有关“中间人袭击”的更多信息，这是此问题的核心。 http://en.wikipedia.org/wiki/Man-in-the-middle_attack

Passworrds应该被视为个人信息-坦率地说，鉴于密码的重用，它可能比SSN更为敏感。

鉴于此以及您的描述，我不知道您为什么要完全存储密码...

我将使用OpenID，如果您觉得需要自己的登录名，请为此创建一个子域，然后在其他任何地方使用OpenID。

如果您不使用OpenID，则仍然可以使用相同的login.yourdomain模式来避免需要通配符证书，但是就像我说的那样，在当今世界，密码至少与SSN /生日一样敏感，请不要收集它如果不需要的话。

通过Trustico的RapidSSL仅售30美元，或者您可以不到160美元的价格获得RapidSSL通配符-它们还具有价格保证，因此，如果您发现它便宜一点，他们将与它匹配。

如果您具有唯一的IP，则还可能会获得证书，尤其是当您处理任何对远程敏感的数据时。由于您可以从StartSSL获得免费的受信任证书，因此实际上没有理由没有证书。

买一个是明智的。如上所述，它是ALL about end user trust到您的网站。

so I'm hesitant to drop a couple of hundreds on a certificate -好吧，它并不昂贵，而且您可能会得到低于$ 50的价格。

SSL-对于保护您的网站并为您的网站的访问者增加一定程度的信任至关重要。关于登录过程，为什么不使用OAuth？此功能将跳过用户为注册您的网站花费时间的麻烦。网站用户流量将从中真正受益。认真地！，花点时间研究它。

有关SSL常见问题的良好参考- 有关SSL证书的所有信息

我也会考虑使用第三方提供程序进行登录（例如openid）。大多数CMS已经支持它。

SSL具有缺点。它减慢您的网站速度。真。

人们使用SSL证书的唯一原因是涉及客户的钱。

如果您不涉及客户的钱，则采取SSL证书的决定纯粹是基于业务的。

如果您要为客户提供后端服务，而网站上没有涉及资金，但是他们需要确保自己的安全，那么请确保获得证书。这是您对客户信任的一项投资。

在通配符SSL证书上放一些钱可能是最好的选择，也可能不是。看一下Caddy Web服务器：https : //caddyserver.com/。它具有许多不错的功能，特别是内置了对从Let's Encrypt获取免费证书的支持。您只需在其配置文件中指定所有域，它将为它们获取证书。另一个非常酷的功能是按需TLS。如果启用它，则每当它收到没有证书的新域请求时，它将在初始TLS握手期间获取一个证书。这意味着您实际上可以拥有数千个域，而不必在Caddy配置中配置每个域。

注意：就我的热情而言，除了热衷于使用他们的产品外，我对Caddy的任何形式，任何形式都不感兴趣。

一切都与用户有关，他们不提供任何安全性，证书只是要出售的产品。

您可能想看看这个

http://en.wikipedia.org/wiki/Comparison_of_SSL_certificates_for_web_servers