2010-01-08 58 views
20

我有一個客戶端需要SSL來保護在線捐款,但我對如何/何時使用SSL的經驗有限。SSL - 如何以及何時使用它

據我所知,在購買證書時,我將該證書分配給整個域(真的是IP地址)。有沒有辦法將加密隔離到網站的一個頁面,或者我應該繼續並保護整個網站,即使只有一個網頁需要它?

不確定這裏的最佳實踐。請指教。

+0

http://stackoverflow.com/questions/1924119/can-you-ssl-one-page-in-an-a-net-application – 2010-01-08 02:12:24

+8

如果你不知道如何使用SSL,並且你正在保護錢,爲了gawd的緣故找到一個知道如何使用它的人! – 2010-01-08 02:15:39

+1

您不能使用證書來保護IP地址。證書綁定到域只有 – DeveloperChris 2010-01-08 02:49:27

回答

34

SSL會帶來相當多的額外處理時間。對於低帶寬站點,SSL所需的額外處理並不十分明顯。但對於像Facebook,Twitter和Flickr等流量很大的站點來說,由SSL造成的負載足夠大,他們將不得不使用專用的SSL編碼/解碼硬件。

所以基本上是這樣,使使用SSL的頁面數量最小化是有意義的。這就是爲什麼你經常看到銀行網站只通過https保護實際的賬戶頁面。主頁/登錄頁面通常是純舊的http。另一方面,除非你真的是像Twitter或Facebook或Gmail這樣的網站,否則擔心這是一個過早的優化。首先儘可能簡單。請注意這個問題,並注意當您的網站最終流量很大時的升級策略。

我的老闆有句名言:

這是一個快樂的問題有。首先解決傷心問題 沒有足夠的用戶,那麼你會是開心有一個問題, 要求你重構你的架構。

17

您不用SSL加密網站。你加密連接。因此,如果您爲web服務器啓用了SSL,只需將https://添加到url即可加密連接,並且url指向的任何頁面都將被加密,而正在運輸

所以 https://www.website.com/index.html加密,並http://www.website.com/index.html未加密

我寧願爲永遠不會發生,所以我總是把我的加密網頁中的一個子如。 https://secure.website.com/index.html

SSL有一對夫婦的疑難雜症的

1 /一個基本的SSL證書將只對特定的域名是有效的,所以如果該證書是www.website.com有人跟隨鏈接網站.com會顯示警告。 (請參閱下面的註釋)

2/SSL需要專用IP(您似乎有)。這意味着如果您在共享平臺上,可能會遇到問題。這是因爲在HTTP中,主機或域名是標題的一部分,但標題被加密,因此服務器無法知道將請求路由到哪裏。 (請參閱下面的註釋)

聽起來你真的需要僱用熟悉電子商務和SSL的人來幫助你。以有限的知識和論壇迴應來駕駛雷區並不是最安全的事情。尤其是在金融交易發生的情況下,因爲還有其他必須考慮的要求,比如存儲和使用諸如信用卡號碼之類的財務信息的法律要求。

DC

附錄:

捐款考慮貝寶。他們擁有完整的捐贈解決方案,相比推出自己的解決方案,更多的人會信任它。

編輯2016: 世界繼續前進,上面的一些建議不像最初回答時那樣正確。

SSL不再需要專用IP地址。 SNI(服務器名稱指示)解決了這個問題,現在幾乎是通用的(winXP上的IE8不支持它和幾個電話)。

您會發現大多數證書供應商現在將主域名稱作爲SAN(主題替代名稱)包含在證書中。也就是說,如果您獲得www.website.moc的證書,他們將爲www.website.moc和website.moc提供證書。不要認爲這一點,確保您的認證機構指定它。

+1

注意:根據我的瀏覽器https://secure.website.com/index.html是不安全的;)哈哈不得不... – 2013-12-11 06:40:49

+0

關於2 /,現在有[服務器名稱指示](https://en.wikipedia.org/wiki/Server_Name_Indication)(SNI)擴展來解決該問題,它受到所有主流瀏覽器的支持。 (我認爲[Windows XP現在已經死了](http://www.troyhunt.com/2014/03/the-prophesied-windows-xp-and-ie-8.html)。) – Perseids 2014-04-25 05:55:16

4

此外,您提到SSL證書可以保護IP地址。這是不正確的。 SSL證書對應於一個域。許多方案存在幾個域共享一個IP地址的情況。如果其中一個共享域具有SSL證書,則該證書僅適用於該域,而不適用於其他域。

0

其他答案在這方面不準確:除非您購買通配符SSL,否則SSL證書會綁定到分配給靜態單個域名的專用IP地址。域名和IP都必須與證書相匹配。

+1

客戶端只驗證主機名稱與其爲主機名稱頒發的SSL證書(即,除主題替代名稱IP條目中極爲罕見的顯式IP地址)所請求的名稱相匹配。 DNS解析到IP地址與它無關。 (例如,如果您經常更改地址,則可以使用動態DNS。)另一種方式很困難:在同一個IP地址上使用多個證書:SNI可能會有這種情況(但目前並不總是被支持)。您還可以將多個主機名與多個SAN(或通配符證書)一起使用。 – Bruno 2012-05-04 23:29:14

1

Cookie安全性是我指出的主要方法。

登錄安全登錄頁面的用戶會爲他們的會話獲取cookie,對吧?然後,cookie以純文本形式傳輸給有線人員(Firesheep)攔截和竊取會話。

在談判時間和SSL的CPU負載方面存在額外的開銷,但它非常小。如果您的網站上有任何敏感內容,那麼只需在任何地方使用SSL即可。

相關問題