У меня есть клиент, которому требуется SSL для защиты онлайн-пожертвований, но у меня ограниченный опыт использования/использования SSL.
Я понимаю, что при покупке сертификата я присваиваю этот сертификат всему домену (действительно IP-адрес). Есть ли способ изолировать шифрование только на одной странице веб-сайта, или я должен просто идти вперед и защищать весь сайт, хотя ему нужна только одна страница?
Неполадка лучшей практики здесь. Просьба сообщить.
SSL требует довольно много дополнительного времени обработки. Для сайтов с низкой пропускной способностью дополнительная обработка, требуемая SSL, на самом деле не является заметной. Но для сайтов с интенсивным движением, таких как Facebook, Twitter и Flickr, загрузка, вызванная SSL, достаточно тяжела, чтобы им пришлось использовать специализированное оборудование для кодирования/декодирования SSL.
В принципе, да, имеет смысл минимизировать количество страниц, использующих SSL. Вот почему вы часто видите, что банковские сайты защищают только фактические страницы аккаунта через https. Домашняя страница/целевая страница обычно является обычным старым http.
С другой стороны, если вы действительно не являетесь сайтом вроде Twitter или Facebook или Gmail, беспокоиться об этом - это немного преждевременная оптимизация. Сначала сделайте это просто, если сможете. Помните об этой проблеме и будьте в курсе стратегий обновления, когда ваш сайт, наконец, получает интенсивный трафик.
У моего босса есть поговорка:
Это счастливая проблема. Сначала разрешите печальную проблему не имея достаточного количества пользователей, тогда вы были бы счастливы иметь проблему, которая требует реорганизации вашей архитектуры.
Вы не шифруете сайт с помощью SSL. вы шифруете соединение. Поэтому, если у вас есть SSL для веб-сервера, просто добавляя https://, url будет шифровать соединение, а любая страница, на которую указывает URL-адрес, будет зашифрована во время транзита.
так https://www.website.com/index.html зашифрован и http://www.website.com/index.html НЕ зашифровано
Я предпочитаю, чтобы этого никогда не было, поэтому я всегда помещаю свои зашифрованные страницы в субдомен, например. https://secure.website.com/index.html
SSL поставляется с несколькими запросами
1/базовый сертификат SSL будет действителен только для определенного имени домена, поэтому, если сертификат для www.website.com и кто-то следует за ссылкой на веб-сайт, будет отображаться предупреждение. (см. примечание ниже)
2/SSL требует выделенный IP-адрес (который у вас есть). это означает, что у вас могут быть проблемы, если вы находитесь на общей платформе. это связано с тем, что в HTTP хост или доменное имя является частью заголовков, но заголовки шифруются, поэтому сервер не может знать, куда направлять запрос. (см. примечание ниже)
Похоже, вам действительно нужно использовать службы, знакомые с электронной коммерцией и SSL, чтобы помочь вам. Навигация по минному месторождению с ограниченными знаниями и ответами в форуме - это не самая безопасная вещь. особенно если финансовые транзакции происходят, поскольку существуют другие требования, которые необходимо учитывать, такие как юридические требования при хранении и использовании финансовой информации, такой как номера кредитных карт.
DC
Приложение:
Пожертвования рассматривают Paypal. У них есть полное решение для пожертвований, и больше людей доверяют ему, чем откатывают собственное решение.
EDIT 2016: Мир движется дальше, и некоторые из приведенных выше советов не так верны, как это было при первоначальном ответе.
SSL больше не требует выделенного IP-адреса. SNI (название сервера) разрешает это и сейчас почти универсально (IE8 на winXP не поддерживает его и несколько телефонов).
В настоящее время большинство поставщиков сертификатов включают основное имя домена в качестве SAN (альтернативное имя объекта) в сертификате. Иными словами, они предоставят сертификат для сайта www.website.moc и website.moc, если вы получите сертификат на www.website.moc. Не предполагайте этого, убедитесь, что ваш центр сертификации указывает его.
также вы упомянули, что SSL-сертификат защищает IP-адрес. Это неверно. Сертификат SSL соответствует домену. Существует много схем, в которых несколько доменов имеют один IP-адрес. Если в одном из этих общих доменов есть сертификат SSL, этот сертификат подходит только для этого домена, а не для других.
Безопасность файлов cookie - это то, что я хотел бы указать на ваш подход.
Пользователь, который входит в систему на своей защищенной странице входа, получает cookie для своей сессии, не так ли? Затем этот куки файл передается в виде обычного текста, чтобы кто-то наблюдал за проводом (Firesheep), чтобы перехватить и украсть сеанс.
В период времени согласования и загрузки процессора с SSL существуют дополнительные накладные расходы, но они минимальны. Если на вашем сайте есть что-то чувствительное, просто используйте SSL везде.
Другие ответы неточны в этом отношении: SSL-сертификат привязывает к BOTH выделенный IP-адрес, которому присваивается статическое одно доменное имя, если вы не приобрели SSL с wild card. И имя домена, и IP должны соответствовать сертификату.