Kā iegūt bezmaksas SSL sertifikātu savai WordPress vietnei (vai tiešām jebkurai vietnei)

Esmu diezgan paranojas mācījies “pareizi rīkoties ar drošību” šai vietnei, kuru es veidoju (pirmā netīkamā vietne, kuru esmu izveidojis), un esmu pamanījis kaut ko, kas mani traucē: SSL.

Esmu lasījis daudz drošības pavedienu šeit, vietnē StackOverflow un citur, kas turpinās par sesiju ID atjaunošanu pēc n lietošanas reizes un paroļu sālīšanas, jaukšanas un nekad uzglabāšanas vienkāršā tekstā. Esmu daudz lasījis par to, kā noteikt, kad sesija ir nolaupīta, izsekojot IP adreses, lietotāju aģentus un izmantojot izsekošanas sīkdatnes.

Ko es nesaprotu, ir tas, kas kādam no šiem ir svarīgs, ja vietne jūs piesakās, izmantojot parasto HTTP POST, un nosūta paroli pa vadu vienkāršā tekstā?

Es saprotu, ka visas pārējās manis uzskaitītās metodes ir nepieciešamas, lai samazinātu jūsu kopējo iedarbību, un varbūt ir dažas vietnes, kurām vienkārši nav nepieciešama tik liela drošība, bet es domāju, ka es lūdzu:

  • Kad ir labi neuztraukties ar SSL?

Vietnes, piemēram, Gmail, jūsu banka un LinkedIn, es redzu iemeslu izmantot SSL, taču kas padara to par labu, ka tādas vietnes kā Facebook un reddit netraucē (ellē, PlentyOfFish pat glabā jūsu paroli vienkāršā tekstā un pat nosūta to pa e-pastu jums katru nedēļu kā atgādinājumu!?!)?

Cik man būtu jāuztraucas par to, lai pārliecinātos, ka SSL ir iestatīts (it īpaši tāpēc, ka es sāktu ar kopīgu resursdatoru, un man ir diezgan lēti sākt)? Manā vietnē netiks glabāta īpaši personiska informācija, ja tā palīdzēs. Ja vietne gūs panākumus, es nopietni apsvērtu papildu samaksu par papildu drošību.

Tam ir tikpat liela nozīme kā jums un jūsu lietotājiem. Nosūtot paroles, izmantojot vienkāršu tekstu, izmantojot http, tie paliek neaizsargāti pret pakešu šņaukšanu. Tagad tas, vai kāds patiešām apgrūtinās šo paku šņaukšanu, ir pavisam cits stāsts. Ja vēlaties lietotājiem nodrošināt pēc iespējas drošāku pieredzi, izmantojiet SSL, lai pieteiktos. Ja domājat, ka jūsu lietotāji būs laimīgāki un, visticamāk, mijiedarbosies ar jūsu vietni pozitīvā veidā (t.i., iegādāsies sīkumus, darīs lietas utt.), Tad pieteikšanās iesniegšanai izmantojiet SSL. Ja jums ir kaut kas zagšanas vērts (t.i., informācija par lietotāju), izmantojiet SSL.

Ja jums nav nekā zagšanas vērta, nedomājiet, ka SSL daudz vai vispār uzlabos drošību, vai arī jūsu lietotāji to neuzskatīs par noderīgu funkciju, tad ieteicams apsvērt iespēju neizmantot SSL.

Par to, ko maksā SSL sertifikāta instalēšana, ja vien jums nav budžeta par apavu, nekad nav slikti nodrošināt vietnes pieteikšanos. Un neļaujiet tam, ko dara citas vietnes, jūs ietekmēt, jo daudzām lielākām vietnēm nav jāievēro paraugprakse, tāpēc šķiet, ka pastāv stabila ziņu stāstu plūsma par to, ka kāds tiek kaut kā apdraudēts.

  • 1 +1 "daudzām lielākām vietnēm nav obligāti jāievēro paraugprakse" - esmu pārliecināts, ka būs daži smieklīgi virsraksti, kad Nigērijas 419 cilvēki izdomās veidu, kā gūt peļņu no nozagtiem iepazīšanās vietņu profiliem :)
  • "ja vien jums nav apavu budžeta" - bet es esmu. Es tiešām, patiešām esmu līdz vietai, ka es apsveru iespēju doties m + m uz lētu kopīgu resursdatoru, nevis maksāt daudz mazāk mēnesī, lai samaksātu par gadu iepriekš. Tādā veidā es varu izvilkt kontaktdakšu, ja vietne nesāk samaksāt par sevi samērā ātri. Es domāju, ka šobrīd es esmu nosliece uz no-ssl, jo tikai nepieciešamās statiskās ip iegūšana vien gandrīz divkāršotu manas ikmēneša izmaksas, nemaz nerunājot par pašas sertas izmaksām. Vietne ir diezgan tuvu forumam, un lielākā daļa datu ir publiski pieejami, tāpēc ārpus pieteikšanās nav nepieciešama šifrēšana.
  • @danlefree, Tas ir viegli. Izmantojiet personisko informāciju iepazīšanās vietnēs, lai atbildētu uz lietotāju e-pasta un bankas vietnes paroles atkopšanas jautājumiem. Vai vienkārši notveriet paroli, jo cilvēki atkārtoti izmanto savas paroles.
  • @AgentConundrum Startssl piedāvā SSL sertifikātu bez maksas. Ja jums ir ierobežots budžets, bet jums ir statisks IP, varat to izdarīt.
  • @AgentConundrum jums vairs nav nepieciešams īpašs IP SSL, ja vien jūsu resursdators atbalsta SNI (un, ja tā nav, atrodiet jaunu resursdatoru, jo viņi nezina, ko dara). Jūs varat saņemt sertifikātu bez maksas, tāpēc arī tās nav papildu izmaksas ...

Pieņemot pretēju pieeju Jāņa atbildei, es domāju, ka, ja rīkojaties, jums nopietni jāapsver SSL jebkurš personu identificējoša informācija - iekļauj: vārdus ar fiziskām adresēm, e-pasta adresēm, finanšu informāciju un saziņu, kuru lietotāji pamatoti varētu uzskatīt par privātiem.

Ja vien jūsu vietne nenodrošina lietotājiem iespēju publicēt informāciju par sevi, jums jāņem vērā, ka visa lietotāju sniegtā personu identificējošā informācija ir jūsu rīcībā, un tikai tad, ja jūsu vietnes konfidencialitātes politika lietotājiem neinformē par pretējo.

Neļaujiet nepilnvarotām trešajām pusēm redzēt jūsu apmeklētāju informāciju un informējiet savus lietotājus par to, kā jūs izmantojat viņu informāciju, lai uzturētu apmeklētāju uzticību.

Pat Facebook to dara, cik es varu pateikt.

<form method='POST' action='https://login.facebook.com/login.php?login_attempt=1' id='login_form' onsubmit=';var d=document.documentElement;if (d.onsubmit) { return d.onsubmit(event); }else { return Event.fire(d, 'submit', event); }'> 

(Facebook.com pieteikšanās HTML avots)

  • Nepāra. Es nezinu, kā es to nepamanīju Facebook. Es to skatījos no HTTPFox un kaut kā nokavēju sākotnējā pieprasījuma “s”. Es to rediģēšu, lai to noņemtu. Joprojām paliek fakts, ka daudzas vietnes to dara (reddit, hakeru ziņas, TDWTF utt.), Tāpēc sliktākajā gadījumā es nebūtu labāks par viņiem. Budžets ir a masveida manas rūpes, tāpēc tērēt papildus USD 5 / mo par statisku IP (uz $ 8 / mo saimniekdatoru ...), kā arī nopirkt pienācīgu sert .. Es gandrīz apsvērtu iespēju vienkārši neveidot sasodīto vietni.
  • @AgentConundrum - Stingri sakot, ir pareizi nodot paroli, izmantojot HTTP vienvirziena jaukšanas algoritmu, izmantojot HTTP ja parole ir sālīta, tāpēc es nebūtu pārāk pārsteigts, redzot MD5 hash ieviešanu vietnēs, kas neizmanto SSL: pajhome.org.uk/crypt/md5
  • un kā maiņas veidošana klienta pusē varētu kaut ko palīdzēt? Tādā gadījumā būtībā hash ir parole. Man jāspēj tvert hash un atkārtot to tikpat viegli, kā es varu tvert paroli.
  • 1 @Zoredache Tāpēc hash jābūt sālīts. Tā tas darbojas: es jums nosūtu pieteikšanās lapu ar a iepriekš apdzīvots žetons, kas ietver a microtime() zvans no servera. Jūsu pārsūtītais hash ir jūsu paroles kombinācija microtime() un, kad esmu saņēmis jūsu hash, es to nederēju microtime()+ paroles izaicinājums / atbildes pāris (to vairs nevar izmantot).

Sākot ar 2014. gada augustu Google ir oficiāli norādījis, ka HTTPS tiks izmantots kā ranžēšanas signāls.

Tas nozīmē, ka pat tad, ja jūsu vietne ir pilnīgi statiska vietne, ja jums rūp SEO, jums vismaz vajadzētu apsvērt iespēju izveidot SSL sertifikātu.

Protams, HTTPS ir tikai viens reitinga signāls no simtiem, tāpēc, iespējams, ir daudz svarīgākas lietas, ko varat darīt SEO.

  • Google arī paziņoja, ka, tā kā SSL sertifikāta iestatīšana prasa resursus, tas jādara tikai tad, ja to pieprasa jūsu vietne. Īsāk sakot, viņi minēja, ka jūsu klasifikācija netiks ietekmēta tikai tāpēc, ka jūs savā personīgajā emuārā neesat iestatījis SSL sertifikātu.

Šis ir leņķis, kuru, iespējams, neņemat vērā: ja neizmantojat SSL / TLS, lietotāji var tikt pakļauti pasīvai uzraudzībai, pat ja jūsu vietnei nav pieteikšanās.

Draudu dalībnieks var vienkārši sēdēt starp jūsu lietotāju un pārējo internetu, skatoties visus lietotāja pieprasītos vietrāžus URL un veidojot to, kā lietotāji skatās. Atsevišķi informācijas biti atsevišķi var patiešām būt nenozīmīgi, taču, apvienojot daudzus mazus informācijas bitus, var izveidot daudz lielāku ainu.

Šī iemesla dēļ es savā vietnē piedāvāju HTTPS, kas nodrošina tikai statisku saturu.

strādāja par jums: Charles Robertson | Vēlies ar mums sazināties?

noderīga informācija