Где следует включить SSL?
-
01-07-2019 - |
Вопрос
Мои последние несколько проектов включали веб-сайты, которые продают продукт/услугу и требуют процесса «оформления заказа», в ходе которого пользователи вводят данные своей кредитной карты и тому подобное.Очевидно, что мы получили сертификаты SSL для обеспечения безопасности, а также для обеспечения спокойствия клиентов.Однако я немного не разбираюсь в тонкостях этого процесса и, что наиболее важно, в том, какие части веб-сайта должны «использовать» сертификат.
Например, я был на веб-сайтах, на которых в тот момент, когда вы заходите на домашнюю страницу, вы попадаете на https (в основном на банковские сайты), а есть сайты, на которых https переходит только тогда, когда вы, наконец, оформляете заказ.Является ли излишним запускать весь веб-сайт через https, если он не занимается чем-то на банковском уровне?Должен ли я сделать страницу оформления заказа только https?Какова производительность при полной отдаче?
Решение
Лично я предпочитаю «SSL от беды».
Если ваш пользователь никогда не вводит номер кредитной карты, конечно, никакого SSL.
Но существует возможная утечка безопасности из-за воспроизведения файлов cookie.
- Пользователь посещает сайт и получает файл cookie.
- Пользователь просматривает сайт и добавляет данные в корзину (используя файлы cookie).
- Пользователь переходит на страницу оплаты, используя cookie.
Вот здесь и возникает проблема, особенно если вам приходится самостоятельно вести переговоры по оплате.
Вам приходится передавать информацию из незащищенного домена в защищенный и обратно без каких-либо гарантий защиты.
Если вы сделаете что-то глупое, например, поделитесь одним и тем же файлом cookie с незащищенным, как и с безопасным, вы можете обнаружить, что некоторые браузеры (справедливо) просто уронить полностью сохраните файл cookie (Safari) в целях безопасности, потому что, если кто-то обнюхает этот файл cookie в открытом доступе, он может подделать его и использовать в безопасном режиме, снизив вашу замечательную безопасность SSL до 0, и если данные карты когда-либо получат даже временно сохраненные в сеансе, вас ждет опасная утечка.
Если вы не можете быть уверены, что ваше программное обеспечение не подвержено этим недостаткам, я бы с самого начала предложил SSL, чтобы их первоначальный файл cookie передавался в защищенном режиме.
Другие советы
Если сайт предназначен для публичного использования, вам, вероятно, следует перевести общедоступные части на HTTP.Это делает работу проще и эффективнее для пауков и обычных пользователей.HTTP-запросы инициируются намного быстрее, чем HTTPS, и это очень очевидно, особенно на сайтах с большим количеством изображений.
Браузеры также иногда имеют другую политику кэширования для HTTPS и HTTP.
Но их можно перевести на HTTPS сразу после входа в систему или непосредственно перед этим.В тот момент, когда сайт становится персонализированным и неанонимным, с этого момента он может перейти на HTTPS.
Лучше использовать HTTPS для самой страницы входа, а также для любых других форм, поскольку это позволяет использовать замок перед вводом своей информации, что заставляет их чувствовать себя лучше.
Я всегда делал это на всем сайте.
Я бы тоже полностью использовал HTTPS.Это не оказывает большого влияния на производительность (поскольку браузер кэширует согласованный симметричный ключ после первого подключения) и защищает от перехвата.
Когда-то прослушивание было прекращено из-за полностью коммутируемых проводных сетей, в которых вам приходилось прилагать дополнительные усилия, чтобы перехватить чужой трафик (в отличие от сетей, использующих концентраторы), но оно возвращается из-за беспроводных сетей, которые создают широковещательная среда еще раз упрощает перехват сеанса, если трафик не зашифрован.
Я думаю, что хорошее практическое правило — принудительно использовать SSL везде, где может передаваться конфиденциальная информация.Например:Я являюсь членом Кредитного союза Wescom.На главной странице есть раздел, который позволяет мне войти в свой счет в онлайн-банке.Таким образом, корневая страница принудительно использует SSL.
Подумайте об этом так:будет ли передана конфиденциальная личная информация?Если да, включите SSL.В противном случае с вами все будет в порядке.
В нашей организации есть три классификации приложений:
- Низкое влияние на бизнес — нет PII, хранение в открытом виде, передача в виде открытого текста, отсутствие ограничений доступа.
- Среднее влияние на бизнес – нетранзакционные персональные данные, напримерАдрес электронной почты.хранение открытого текста, SSL от центра обработки данных к клиенту, открытый текст в центре обработки данных, ограниченный доступ к хранилищу.
- Высокое влияние на бизнес – транзакционные данные, например.SSN, кредитная карта и т. д.SSL внутри и за пределами центра обработки данных.Зашифрованное и проверенное хранилище.Проверенные приложения.
Мы используем эти критерии для определения разделения данных и определения того, какие аспекты сайта требуют SSL.Вычисление SSL выполняется либо на сервере, либо с помощью ускорителей, таких как Netscaler.По мере увеличения уровня PII возрастает и сложность аудита и моделирования угроз.
Как вы понимаете, мы предпочитаем использовать LBI-приложения.
Кент справился с задачей.Я просто хочу сделать небольшой комментарий: я думаю, Amazon справляется с этим хорошо.http для большей части сайта, но когда придет время оформлять заказ, вам придется снова войти в систему (oneclick немного отличается), вероятно, на этом этапе будет другой файл cookie.Я думаю, что другие комментарии говорят то же самое, но я просто хотел привести конкретный пример.
Обычно каждый раз, когда вы передаете конфиденциальные или личные данные, вам следует использовать SSL, например.добавление товара в корзину, вероятно, не требует SSL, вход в систему с вашим именем пользователя/паролем или ввод данных вашей CC должны быть зашифрованы.
У полной версии есть один существенный недостаток. https
сайт и дело не в скорости (это нормально).
Будет очень сложно запустить Youtube, лайки и т. д. без предупреждения о незащищенности.
У нас уже два года полностью защищенный веб-сайт и магазин, и это самый большой недостаток.Нам удалось заставить YouTube работать, но «Добавить это» по-прежнему остается большой проблемой.А если они что-то изменят в протоколе, то может случиться так, что все наши фильмы на Youtube останутся пустыми...
Я перенаправляю свои сайты на SSL только тогда, когда пользователю требуется ввести конфиденциальную информацию.С корзиной покупок, как только им нужно заполнить страницу со своей личной информацией или данными кредитной карты, я перенаправляю их на страницу SSL.Для остальной части сайта это, вероятно, не нужно - если они просто просматривают информацию/продукты на вашем коммерческом сайте.
SSL требует больших вычислительных ресурсов, и его не следует использовать для передачи больших объемов данных, если это возможно.Поэтому было бы лучше включить его на этапе оформления заказа, когда пользователь будет передавать конфиденциальную информацию.