SSL - Как и когда использовать его
У меня есть клиент, которому нужен SSL для защиты пожертвований онлайн, но я ограничил опыт с тем, как/когда использовать SSL.
Я понимаю, что в покупке сертификата, что я присваиваю тот сертификат всему домену (IP-адрес действительно). Существует ли способ изолировать шифрование только к единственной странице веб-сайта, или я должен просто идти вперед и защитить весь сайт даже при том, что только одной странице нужен он?
Не уверенный в лучшей практике здесь. Советуйте.
3 ответа
SSL требует довольно много дополнительного времени обработки. Для сайтов с низкой пропускной способностью дополнительная обработка, требуемая SSL, практически не заметна. Но для сайтов с большим трафиком, таких как Facebook, Twitter и Flickr, нагрузка, вызванная SSL, достаточно велика, и им придется использовать специальное оборудование для кодирования / декодирования SSL.
В общем, да, имеет смысл минимизировать количество страниц с использованием SSL. Вот почему вы часто видите, что банковские сайты защищают только фактические страницы учетной записи через https. Домашняя / целевая страница обычно представляет собой старый добрый http.
С другой стороны, если вы действительно не являетесь сайтом вроде Twitter, Facebook или Gmail, беспокоиться об этом - это немного преждевременная оптимизация. Сначала сделайте это просто, если можете. Помните об этой проблеме и помните о стратегиях обновления, когда ваш сайт, наконец, получит большой трафик.
У моего босса есть поговорка:
Это счастливая проблема. Сначала решите грустную задачу о не имея достаточного количества пользователей, вы будете счастливы , если у вас возникнет проблема, требует от вас рефакторинга вашей архитектуры.
Ты не шифруешь веб-сайт с помощью SSL. Ты шифруешь соединение. Поэтому, если вы включили SSL для веб-сервера, просто добавив https:// к url, вы зашифруете соединение, и любая страница, на которую указывает url, будет зашифрована во время транзита .
так https://www.website.com/index.html зашифрован и http://www.website.com/index.html НЕ зашифрован
Я предпочитаю, чтобы этого никогда не происходило, поэтому я всегда помещаю зашифрованные страницы в поддомен, например. https://secure.website.com/index.html
SSL поставляется с парой gotcha's
1/ основной SSL сертификат будет действителен только для конкретного доменного имени, поэтому если сертификат для www.website.com и кто-то перейдет по ссылке для website.com, то будет выдано предупреждение. (см. примечание ниже)
2/ SSL требует выделенного IP (который у вас есть). это означает, что у вас могут возникнуть проблемы, если вы находитесь на общей платформе. Это происходит потому, что в HTTP хост или доменное имя является частью заголовков, но заголовки зашифрованы, так что сервер не может знать, куда направить запрос. (см. примечание ниже)
Похоже, что вам действительно нужно воспользоваться услугами кого-то, кто знаком с электронной коммерцией и SSL, чтобы помочь вам. навигация по минному полю с ограниченными знаниями и ответами форума не самая безопасная вещь. особенно если происходят финансовые транзакции, потому что есть другие требования, которые необходимо учитывать, такие как юридические требования при хранении и использовании финансовой информации, например, номеров кредитных карт.
DC
Addendum:
Для пожертвований рассмотрим Paypal. У них есть полное решение по пожертвованиям, и больше людей будут доверять ему, чем в случае с вашим собственным решением.
РЕДАКТИРОВАТЬ 2016: Мир движется дальше, и некоторые из советов, приведенных выше, не так верно, как это было, когда изначально ответил.
SSL больше не требует выделенного IP-адреса. SNI (Server name indication - указание имени сервера) разрешает это и является почти универсальным (IE8 на winXP не поддерживает его и несколько телефонов).
Большинство поставщиков сертификатов теперь включают основное доменное имя в качестве SAN (subject alternative name - альтернативное имя субъекта) в сертификат. То есть они предоставят сертификат как для www.website.moc, так и для web.moc, если вы получите сертификат для www.website.moc. Не предполагайте этого, убедитесь, что ваш центр сертификации указывает его.
также вы упомянули, что сертификат SSL защищает IP-адрес. Это неверно. Сертификат SSL соответствует домену. Существует множество схем, в которых несколько доменов используют один IP-адрес. Если один из этих общих доменов имеет сертификат SSL, этот сертификат подходит только для этого домена, а не для других.