¿Dónde debería habilitar SSL?
https://stackoverflow.com/questions/107566
-
01-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Mis últimos dos proyectos han involucrado sitios web que venden un producto/servicio y requieren un proceso de "pago" en el que los usuarios ingresan la información de su tarjeta de crédito y demás.Obviamente obtuvimos certificados SSL por su seguridad además de brindar tranquilidad a los clientes.Sin embargo, no tengo ni idea de sus sutilezas y, lo que es más importante, de qué partes del sitio web deberían "usar" el certificado.
Por ejemplo, he estado en sitios web en los que, en el momento en que accedes a la página de inicio, te ponen https (principalmente sitios bancarios) y luego hay sitios web donde sólo te ponen https cuando finalmente estás pagando.¿Es excesivo hacer que todo el sitio web funcione a través de https si no trata algo a nivel bancario?¿Debo hacer que la página de pago solo sea https?¿Cuál es el impacto en el rendimiento al hacer todo lo posible?
Solución
Yo personalmente opto por "SSL de ir a ay".
Si su usuario nunca ingresa un número de tarjeta de crédito, claro, nada de SSL.
Pero existe una posible fuga de seguridad inherente a la reproducción de cookies.
- El usuario visita el sitio y se le asigna una cookie.
- El usuario navega por el sitio y agrega datos al carrito (usando cookies)
- El usuario accede a la página de pago mediante cookie.
Aquí surge un problema, especialmente si usted mismo tiene que encargarse de la negociación de pagos.
Tienes que transmitir información desde el dominio no seguro al dominio seguro y viceversa, sin garantías de protección.
Si hace algo tonto como compartir la misma cookie con las no seguras que con las seguras, es posible que algunos navegadores (con razón) simplemente gota la cookie por completo ( Safari ) por motivos de seguridad, porque si alguien huele esa cookie abiertamente, puede falsificarla y usarla en modo seguro, degradando su maravillosa seguridad SSL a 0, y si los detalles de la Tarjeta alguna vez se obtienen incluso almacenado temporalmente en la sesión, tiene una fuga peligrosa esperando a ocurrir.
Si no puede estar seguro de que su software no sea propenso a estas debilidades, sugeriría SSL desde el principio, para que su cookie inicial se transmita de forma segura.
Otros consejos
Si el sitio es para uso público, probablemente deberías poner las partes públicas en HTTP.Esto hace que las cosas sean más fáciles y eficientes para las arañas y los usuarios ocasionales.Las solicitudes HTTP son mucho más rápidas de iniciar que HTTPS y esto es muy obvio, especialmente en sitios con muchas imágenes.
A veces, los navegadores también tienen una política de caché diferente para HTTPS que para HTTP.
Pero está bien ponerlos en HTTPS tan pronto como inicien sesión, o justo antes.En el momento en que el sitio se vuelve personalizado y no anónimo, puede ser HTTPS a partir de ahí en adelante.
Es una mejor idea usar HTTPS para la página de inicio de sesión, así como para cualquier otro formulario, ya que les permite usar el candado antes de ingresar su información, lo que los hace sentir mejor.
Siempre lo he hecho en toda la web.
Yo también usaría HTTPS en todo momento.Esto no tiene un gran impacto en el rendimiento (ya que el navegador almacena en caché la clave simétrica negociada después de la primera conexión) y protege contra el rastreo.
El rastreo alguna vez estuvo desapareciendo debido a las redes cableadas completamente conmutadas, donde tendrías que trabajar más duro para capturar el tráfico de cualquier otra persona (a diferencia de las redes que utilizan concentradores), pero está regresando debido a las redes inalámbricas, que crean una medio de transmisión una vez más facilita el secuestro de sesión, a menos que el tráfico esté cifrado.
Creo que una buena regla general es imponer SSL en cualquier lugar donde sea posible transmitir información confidencial.Por ejemplo:Soy miembro de Wescom Credit Union.Hay una sección en la página principal que me permite iniciar sesión en mi cuenta bancaria en línea.Por lo tanto, la página raíz fuerza SSL.
Piénsalo de esta manera:¿Se transmitirá información confidencial y privada?En caso afirmativo, habilite SSL.Por lo demás, deberías estar bien.
En nuestra organización tenemos tres clasificaciones de aplicaciones:
- Bajo impacto empresarial: sin PII, almacenamiento de texto sin cifrar, transmisión de texto sin cifrar, sin restricciones de acceso.
- Impacto empresarial medio: PII no transaccional, p.dirección de correo electrónico.almacenamiento de texto sin cifrar, SSL desde el centro de datos al cliente, texto sin cifrar en el centro de datos, acceso limitado al almacenamiento.
- Alto impacto empresarial: datos transaccionales, p.SSN, tarjeta de crédito, etc.SSL dentro y fuera del centro de datos.Almacenamiento cifrado y auditado.Aplicaciones auditadas.
Utilizamos estos criterios para determinar la partición de datos y qué aspectos del sitio requieren SSL.El cálculo de SSL se realiza en el servidor o mediante aceleradores como Netscaler.A medida que aumenta el nivel de PII, también aumenta la complejidad de la auditoría y el modelado de amenazas.
Como puedes imaginar, preferimos hacer aplicaciones LBI.
Kent lo logró.Sólo quiero hacer un comentario rápido: creo que Amazon lo hace bien.http para la mayor parte del sitio, pero cuando llega el momento de pagar, debes iniciar sesión nuevamente (un clic es un poco diferente), probablemente haya una cookie diferente en ese momento.Creo que otros comentarios dicen lo mismo, pero solo quería dar un ejemplo concreto.
Generalmente, cada vez que transmita datos personales o confidenciales debe utilizar SSL, p.Agregar un artículo a una cesta probablemente no necesite SSL, iniciar sesión con su nombre de usuario/contraseña o ingresar sus datos CC debe estar encriptado.
Hay una desventaja importante en un completo https sitio y no es la velocidad (está bien).
Será muy difícil ejecutar Youtube, casillas "Me gusta", etc. sin la advertencia de inseguridad.
Llevamos dos años ejecutando un sitio web totalmente seguro y comprando y este es el mayor inconveniente.Logramos que Youtube funcionara ahora, pero "Agregar esto" sigue siendo un gran desafío.Y si cambian algo al protocolo entonces podría ser que todas nuestras películas de Youtube estén en blanco...
Solo redirijo mis sitios a SSL cuando requiere que el usuario ingrese información confidencial.Con un carrito de compras, tan pronto como tienen que completar una página con su información personal o los datos de su tarjeta de crédito, los redirecciono a una página SSL.Para el resto del sitio probablemente no sea necesario, si solo están viendo información/productos en su sitio comercial.
SSL requiere bastante procesamiento computacional y, si es posible, no debe usarse para transmitir grandes cantidades de datos.Por lo tanto, sería mejor habilitarlo en la etapa de pago, donde el usuario transmitiría información confidencial.
