Tout simplement, quel est le critère qu'un site Web doit se rencontrer pour avoir besoin d'un certificat SSL?
Le site Web n'est pas du commerce électronique mais prendra des informations utilisateur, des coordonnées et des informations sur l'événement.
Même si ce n'est pas techniquement requis, SSL ne propose que des utilisateurs ayant une "confiance" ajoutée sur le site?
acclamations
4 Réponses :
Chaque fois que vous ne pouvez pas faire confiance au fil - Chaque fois que vous êtes une chance de vous attaquer à tout ce qui est envoyé sur le fil (hub réseau, vulnérabilité de MitM, etc.) et tout ce qui est envoyé sur le Le fil peut contenir des trucs qui au moins une petite sous-section de votre clientèle n'aimera pas que quiconque ait accès à.
Utilisez SSL lorsque vous collectez des informations sensibles de vos utilisateurs, qui (IMO) inclut les coordonnées. Personnellement, j'essaie d'éviter de soumettre des détails personnels sur moi-même sur un canal non crypté.
À la fin, c'est un appel de jugement. Toutefois, si vous collectez des adresses, des numéros de téléphone, des coordonnées bancaires ou tout ce qui peut être traçalisé physiquement à l'utilisateur que je recommanderais d'utiliser SSL.
Évidemment, cela ne s'applique que si votre méthode de transport n'est pas sécurisée (que l'Internet, par définition, est). Si vous exécutez votre site Web sur un canal déjà sécurisé (comme un réseau interne, où vous Trust vos utilisateurs, il n'y a pas beaucoup de point).
Cependant, si vous décidez d'utiliser SSL, assurez-vous d'obtenir un certificat valide et signé! SSL sans certificat signé est une sorte d'inutile, car cela signifie que vos utilisateurs finaux ne peuvent pas faire confiance à l'authenticité du certificat. Cela nécessite malheureusement de l'argent, c'est pourquoi de nombreux petits sites Web ne se dérangent pas.
SSL est tout à propos de la confiance - les certificats sont signés par une autorité "fiduciée", afin que les utilisateurs puissent être sûrs de traiter avec les titulaires de certificats appropriés (par opposition à une personne effectuant une attaque man-in-the-intermédiaire) . Évidemment, cette confiance n'est pas ultime - mais c'est une étape supplémentaire pour fournir un canal de données sécurisé pour les informations utilisateur.
Je voudrais utiliser SSL pour toute zone de tout site Web où des informations personnelles sont transmises par exemple. Connexion, enregistrement, paramètres de compte, coordonnées de contact, informations utilisateur.
Regardez les données qui sont affichées et demandez-vous si vous souhaitez laisser ces informations publiées autour de vous sans aucune protection - aller de là.
Fait intéressant, SSL combine deux composantes de sécurité, elles sont:
Généralement, les gens utilisent SSL car il chiffre l'envoi de données sur le serveur. Ceci est important si vous prenez des mots de passe, mais de manière critique si vous prenez des informations de carte de crédit. À cette fin, généralement les gens ont SSL pour seulement cette page. Ce n'est pas parfait, car la page non sécurisée que vous atterrissez à mai a été bloquée, d'où votre déjà sur le mauvais site, de sorte que cela n'a pas vraiment d'importance si c'est crypté.
qui nous amène à ...
Le composant d'identification de SSL est également intéressant. PayPal, par exemple, comme leurs certificats parce qu'il est censé "prouver" que PayPal l'a acheté. Malheureusement, les utilisateurs ne s'en soucient pas ou ne remarquent pas cela malgré certaines améliorations des interfaces de navigateur.
Est-ce rarement nécessaire, ou la peine d'obtenir un certificat d'identification (du serveur) et de l'IMHO, les deux composantes de SSL doivent être séparées (mais c'est une autre histoire: p). Mais certains peuvent soutenir que c'est utile. Je ne suis pas une de ces personnes.