我是否需要簡單社區網站的SSL證書？

Question

我正在部署一個小型社區站點。用戶註冊只需要用戶名，電子郵件地址和密碼。我甚至不要求一個名字，當然也不會存儲任何敏感數據。

我還應該投資SSL證書嗎？在沒有人的情況下傳輸用戶密碼會被認爲是可怕的做法嗎？

這僅僅是一個個人項目，所以我想避免，如果我能帶來的額外成本，但我不禁覺得我是不負責任的，如果我沒有正確固定一切。

Answer 1

我倒是[R推薦獲得SSL證書，並且在用戶向您的網站提交密碼時要求https。儘管你的用戶不會傳輸任何敏感信息，但仍然有一個很重要的原因：很多人在他們訪問的每個站點都使用相同的用戶名和密碼，並且如果有人在開放無線的咖啡店使用筆記本電腦，應該盡你所能地讓他們和他們的身份安全。

如果成本是一個問題，一個很好的妥協是CACert。他們的證書在大多數瀏覽器中尚未被默認信任，但具有可驗證身份的任何人都可以免費獲得證書。

Answer 2

我不會打擾SSL這樣的事情。

想一想......互聯網上有100萬個留言板，他們都沒有使用SSL。

除非你是存儲信用卡號碼或其他敏感的金融/個人信息，我只是不認爲這是值得的成本。

Answer 3

只要用戶不提供任何信用卡或其他個人信息，我不會理會任何支付證書。

但是，如果這是一個社交網站，那麼我會考慮得到一個。

Answer 4

可能沒有用，但有些SSL提供商比其他www.instantssl.com更便宜例如是相對便宜的。也有一些主機允許你使用共享的證書，您可以使用這些只是爲了登錄過程中，雖然您的域名將不會在至少流量將被加密的地址欄，

Answer 5

SSL可能是這個矯枉過正。

鼓勵用戶不要使用他們用來存儲敏感信息的密碼！你可能不會存儲任何重要的東西，但如果「kitty37」也是他們的銀行賬戶的關鍵，事情可能會變糟糕。

這提醒我 - 人們應該檢查CMU的Perspectives項目，它試圖解決自簽名證書的問題一方面難以使用，另一方面通過使用一個監測大量安全​​證書的協商一致的監控服務來潛在地僞造「官方」證書，並觀察如果他們正在改變等

他們有一個Firefox擴展，因此它已經死了易於使用的（也有一個OpenSSH客戶端）。http://www.cs.cmu.edu/~perspectives/

Answer 6

在小型社區網站上投資SSL證書將浪費您的資金。我相信花時間確保用戶註冊和登錄頁面易於訪問和理解，讓用戶有足夠的時間和空間來查看他們是否會保持登錄狀態。如果你總是將這樣的參數設置爲「否」，那麼這個例子不會成爲問題。

如果我們正在處理一個大型網站，那麼得到它可能是一個好主意。您是否考慮過使用OpenID作爲用戶登錄的手段？它似乎適合這個網站，所以爲什麼不自己實施呢？

Answer 7

只要你不介意一個人能夠冒充他人，或者在途中嗅探數據，那麼你就不需要SSL。

您可以嘗試在沒有SSL的情況下儘可能安全地創建網站。但是，如果您不確切知道後果是什麼，以及會暴露什麼，以及如何在沒有SSL的情況下保護它，這是非常危險的。在某些情況下，真正的保護可能不可能。

此外，請記住人們經常使用一個密碼爲多個帳戶。這意味着數據庫中的許多密碼將與用戶銀行，電子郵件，網絡等相同。

如果您讓人們隨身攜帶密碼，則必須承擔保護責任，即使您自己的網站安全並不重要。

我建議花20美元購買godaddy cert，只是爲了確保。另外，請務必閱讀會話安全性和安全認證方法。

Answer 8

SSl部分可能是矯枉過正的，更糟糕​​的是，它成爲「貨物​​崇拜安全」的真正誘惑 - 你做了一些聽起來像安全但並沒有真正添加的東西。

你最好考慮如何確保你正在構建一個強化的網站，並且保持你的安全補丁是最新的。

哦，還有一件事：溫暖的用戶他們沒有使用安全的密碼，所以他們不使用他們在他們所有的銀行網站上使用的他們最喜歡的「喬」密碼。

Answer 9

如果你只是想識別一個用戶，爲什麼不允許OpenID像stackoverflow呢？ ;） http://openid.net/

Answer 10

感謝您的回覆。我想我確信花一點錢保護人們的密碼是值得的。

我考慮過使用OpenID。可能不會成爲最初版本的一部分，但我可能會在稍後添加對它的支持。我會質疑我的觀衆如何理解OpenID的概念。由於觀衆的性質，我認爲它適用於SO。我很難讓普通大衆召喚出一個OpenID的熱情，只是爲了使用可能是非常適中的網站。