precio - que es ssl y para que sirve
SSL-Cómo y cuándo usarlo (5)
Además, mencionó que un certificado SSL protege una dirección IP. Esto es incorrecto. Un certificado SSL corresponde a un dominio. Existen muchos esquemas en los que varios dominios comparten una única dirección IP. Si uno de estos dominios compartidos tiene un certificado SSL, ese certificado solo es válido para ese dominio, no para los demás.
Tengo un cliente que necesita SSL para proteger las donaciones en línea, pero tengo experiencia limitada sobre cómo y cuándo usar SSL.
Entiendo que al comprar un certificado, estoy asignando ese certificado a un dominio completo (la dirección IP en realidad). ¿Hay alguna forma de aislar el cifrado en una sola página del sitio web, o debo seguir adelante y asegurar todo el sitio aunque solo una página lo necesite?
No estoy seguro de la mejor práctica aquí. Por favor avise.
La seguridad de las cookies es lo principal a lo que me referiría para su enfoque.
Un usuario que inicia sesión en su página de inicio de sesión segura obtiene una cookie para su sesión, ¿verdad? Esa cookie se transmite entonces en texto simple para que alguien que mira el cable (Firesheep) la intercepte y robe la sesión.
Existe una sobrecarga adicional en términos de tiempo de negociación y carga de CPU de SSL, pero es bastante mínima. Si hay algo sensible en tu sitio, solo usa SSL en todas partes.
Las otras respuestas son inexactas a este respecto: un certificado SSL se enlaza con AMBOS a una dirección IP dedicada que se asigna a un nombre de dominio único estático, a menos que compre un comodín SSL. Tanto el nombre de dominio como la IP deben coincidir con el certificado.
No cifras un sitio web con SSL. Encriptas la conexión. Por lo tanto, si tiene SSL habilitado para el servidor web, simplemente agregando https: // a la url cifrará la conexión y cualquier página a la que apunte la url se cifrará mientras esté en tránsito .
por lo que https://www.website.com/index.html está cifrado y http://www.website.com/index.html NO está cifrado
Prefiero que eso nunca suceda, así que siempre coloco mis páginas cifradas en un subdominio, por ejemplo. https://secure.website.com/index.html
SSL viene con un par de gotcha
1 / un certificado SSL básico solo será válido para un nombre de dominio específico por lo que si el certificado es www.website.com y alguien sigue un enlace para website.com, se mostrará una advertencia. (vea la nota abajo)
2 / SSL requiere una IP dedicada (que parece tener). eso significa que puede tener problemas si está en una plataforma compartida. esto se debe a que, en HTTP, el nombre de host o dominio es parte de los encabezados, pero los encabezados están cifrados, por lo que el servidor no puede saber a dónde dirigir la solicitud. (vea la nota abajo)
Parece que realmente necesitas contratar los servicios de alguien familiarizado con el comercio electrónico y SSL para ayudarte. navegar por el campo minado con un conocimiento limitado y las respuestas del foro no es lo más seguro. especialmente si se están realizando transacciones financieras porque hay otros requisitos que deben considerarse, como los requisitos legales para almacenar y utilizar información financiera, como los números de tarjetas de crédito.
corriente continua
Apéndice:
Para donaciones considérese paypal. Tienen una solución de donación completa y más personas confiarán en ella que un rollo de su propia solución.
EDITAR 2016: El mundo avanza y algunos de los consejos anteriores no son tan ciertos como lo fueron cuando se respondieron originalmente.
SSL ya no requiere una dirección IP dedicada. SNI (Indicación del nombre del servidor) lo resuelve y ahora es casi universal (IE8 en winXP no lo admite y algunos teléfonos).
Encontrará que la mayoría de los proveedores de certificados ahora incluyen el nombre de dominio principal como SAN (nombre alternativo del sujeto) en un certificado. Lo que significa que proporcionarán un certificado para www.website.moc y website.moc si obtiene un certificado para www.website.moc. No asuma esto, asegúrese de que su autoridad de certificación lo especifique.
SSL incurre en un poco de tiempo extra de procesamiento. Para sitios con poco ancho de banda, el procesamiento adicional requerido por SSL no es realmente notable. Pero para sitios con mucho tráfico como Facebook, Twitter y Flickr, la carga causada por SSL es lo suficientemente pesada como para que tengan que usar hardware de codificación / decodificación SSL dedicado.
Así que, básicamente, sí, tiene sentido minimizar el número de páginas que utilizan SSL. Es por eso que a menudo los sitios bancarios solo protegen las páginas de la cuenta real a través de https. La página de inicio / destino es usualmente simple http.
Por otro lado, a menos que realmente sea un sitio como Twitter o Facebook o Gmail, preocuparse por esto es una optimización prematura. Primero hazlo simple si puedes. Sea consciente de este problema y sea consciente de las estrategias de actualización cuando su sitio finalmente obtenga un tráfico intenso.
Mi jefe tiene un dicho:
Este es un problema feliz de tener. Primero resuelva el triste problema de no tener suficientes usuarios y luego estaría feliz de tener un problema que requiera que refactorice su arquitectura.