我的网站需要SSL证书吗？

Question

该网站允许用户注册(姓名、电子邮件和密码)。它的运作就像一个没有电子商务参与的论坛)。

我最初的计划是有一个安全的地方，例如。secure.example.com，它将保存注册表单和登录。这是个好主意还是过火了？

Answer 1

对于您正在收集信息的所有场合，对于在SSL连接上进行信息交换(使用适当的证书进行保护)，这都被认为是最佳实践。

如果您在主域的子域或主域的SSL版本上这样做对整个事务没有任何影响，那么只需要几次重定向即可。它的工作方式主要取决于您个人的喜好，以及您希望用户通过应用程序进行操作的方式。

Answer 2

您不需要子域，您可以重定向到"https://example.com“注册/登录。对于HTTP和HTTPS，您可以拥有相同的域，而不会出现任何问题。

是的，如果你处理密码，你应该使用SSL。您还需要域的有效证书。

Answer 3

SSL证书对于加密服务器和客户端之间的通信非常重要，以防止中间人攻击，在这些攻击中，它们可以读取或干扰通信。它还有助于建立最终用户和他们正在使用的网站之间的信任，许多用户现在已经熟悉了增强的SSL证书，这些证书将地址栏(或其中的一部分)变成绿色。这些增强的SSL证书通常需要证书颁发机构(CA)在授予您证书之前进行额外检查。然而，这些都是额外昂贵的，我最近获得了Geotrust SSL证书与良好的加密仅67英镑(约100美元在撰写时)。

不要忘记，用户通常会在多个站点上重用他们的电子邮件地址和密码，尽管您的网站可能不包含任何没有SSL证书的机密信息，但如果您不使用SSL加密作为攻击者，可能会危及JoeBlogs并登录到他们的gmail/paypal/任何东西中，这将使您的用户面临风险。如果你真的没有钱颁发SSL证书，那么你可以自行签署一个证书，这将为你的用户产生警告，但至少如果他们同意，通信将被加密！

在只加密网站某些部分的问题上，你必须小心.我最近保护了一个致力于SSL的站点，包括在SSL上传输cookie。否则，攻击者在使用站点的HTTP部分时，在技术上有可能接管用户会话。