¿Necesito un certificado SSL para un sitio comunitario simple?

Question

Estoy trabajando en la implementación de un pequeño sitio comunitario. El registro de usuario no requiere más que un nombre de usuario, dirección de correo electrónico y contraseña. Ni siquiera estoy pidiendo un nombre, y ciertamente no estoy almacenando ningún dato confidencial.

¿Debo invertir en un certificado SSL? ¿Se consideraría una práctica terrible transmitir la contraseña de un usuario sin una?

Este es solo un proyecto personal, por lo que me gustaría evitar el costo adicional si pudiera, pero no puedo evitar sentir que sería irresponsable si no asegurara todo correctamente.

Answer 1

Recomiendo obtener un certificado SSL y solicitar https cada vez que los usuarios envíen una contraseña a su sitio web. Aunque sus usuarios no transmitirán ninguna información confidencial, todavía hay una gran razón para esto: muchas personas usan el mismo nombre de usuario y contraseña para cada sitio que visitan, y si alguien usa una computadora portátil en una cafetería con conexión inalámbrica abierta, debe haga todo lo que esté a su alcance para mantenerlos a ellos y su identidad a salvo.

Si el costo es un problema, un buen compromiso es CACert . Sus certificados no son confiables por defecto en la mayoría de los navegadores (todavía), pero cualquier persona con una identidad verificable puede obtener un certificado de ellos de forma gratuita.

Answer 2

Mientras no le importe que una persona pueda suplantar a otra, o oler datos en ruta, entonces no necesita SSL.

Puede intentar crear un sitio lo más seguro posible sin SSL. Sin embargo, esto es muy peligroso si no sabe EXACTAMENTE cuáles son las ramificaciones, qué quedará expuesto y cómo protegerlo sin SSL. En algunos casos, la protección real puede incluso no ser posible.

Además, recuerde que las personas a menudo usan una contraseña para varias cuentas. Esto significa que muchas de las contraseñas en su base de datos serán las mismas que las del banco de usuarios, correo electrónico, red, etc.

Si permite que las personas almacenen una contraseña con usted, debe asumir la responsabilidad de protegerla, incluso si la seguridad de su propio sitio no es crítica.

Recomendaría gastar los $ 20 por un certificado godaddy, solo para estar seguro. Además, asegúrese de leer sobre la seguridad de la sesión y los métodos de autenticación segura.

Answer 3

Gracias por sus respuestas. Creo que estaba convencido de que vale la pena gastar un poco de dinero para proteger las contraseñas de las personas.

Pensé en usar OpenID. Probablemente no formará parte de la versión inicial, pero puedo agregar soporte más adelante. Me preguntaría qué tan bien entendería mi audiencia el concepto de OpenID. Creo que funciona bien para SO debido a la naturaleza de la audiencia. Me cuesta mucho pedirle a la población en general que convoque el entusiasmo para obtener un OpenID solo para usar lo que probablemente será un sitio muy modesto.

Answer 4

No me molestaría con SSL para algo así.

Piénselo ... hay un millón de tableros de mensajes en Internet y ninguno de ellos usa SSL.

A menos que esté almacenando números de tarjeta de crédito u otra información financiera / personal confidencial, simplemente no creo que valga la pena el costo.

Answer 5

Mientras sus usuarios no proporcionen ninguna tarjeta de crédito u otra información personal, tampoco me molestaría en pagar un certificado.

Pero si se tratara de un sitio de redes sociales, entonces consideraría obtener uno.

Answer 6

Posiblemente no sea útil, pero algunos proveedores de SSL son menos costosos que otros www.instantssl.com es relativamente barato, por ejemplo. Además, algunos hosts le permiten usar certificados compartidos, puede usarlos solo para el proceso de inicio de sesión, aunque su dominio no estará en la barra de direcciones, al menos el tráfico estará encriptado,

Answer 7

SSL es probablemente excesivo para esto.

¡Aliente a sus usuarios a no usar contraseñas que usen para almacenar su información confidencial, sin embargo! Es posible que no almacene nada importante, pero si '' kitty37 'también es la clave de su cuenta bancaria, las cosas pueden ponerse mal ...

Esto me recuerda: la gente debería consultar el proyecto Perspectives de CMU, que trata de abordar el problema de que los certificados autofirmados son demasiado difíciles de usar, por un lado, y "oficial". los certificados se falsifican potencialmente, por otro lado, mediante el uso de un servicio de monitoreo consensuado que realiza un seguimiento de una gran cantidad de certificados de seguridad y observa si están cambiando, etc.

Tienen una extensión de Firefox, por lo que es muy fácil de usar (también hay un cliente openSSH). http://www.cs.cmu.edu/~perspectives/

Answer 8

Sería un desperdicio de su dinero invertir en un certificado SSL para un sitio web de una pequeña comunidad. Creo que sería mejor dedicar el tiempo a garantizar que las páginas de registro e inicio de sesión del usuario sean de fácil acceso y comprensión, lo que le permite al usuario un amplio tiempo y espacio para ver si permanecerá conectado. Si siempre configura parámetros como este para no, entonces este ejemplo no sería un problema.

Si estuviéramos tratando con un sitio web grande, entonces tal vez sería una buena idea obtener uno. ¿Ha considerado usar OpenID como un medio para que los usuarios inicien sesión? Parece funcionar razonablemente bien para este sitio web, entonces, ¿por qué no implementarlo por su cuenta?

Answer 9

La parte SSl es probablemente exagerada, y lo que es peor, se convierte en una verdadera tentación para la "seguridad del culto a la carga". --- donde haces algo que suena como seguridad pero que realmente no se agrega a nada.

Sería mejor que pienses en cómo asegurarte de crear un sitio reforzado y mantener actualizados tus parches de seguridad.

Ah, y una cosa: usuarios cálidos que no usan contraseñas seguras, por lo que no usan su favorito "joe" contraseña que usan en todos sus sitios bancarios.

Answer 10

Si solo está buscando identificar a un usuario, ¿por qué no permitir OpenID como lo hace stackoverflow? ;) http://openid.net/