我有一个客户需要SSL来保护在线捐款,但我对如何/何时使用SSL的经验有限。
我理解在购买证书时我将该证书分配给整个域(确实是IP地址)。有没有办法将加密隔离到网站的单个页面,或者我应该继续保护整个网站,即使只有一个页面需要它?
不确定此处的最佳做法。请指教。
答案 0 :(得分:34)
SSL会产生相当多的额外处理时间。对于低带宽站点,SSL所需的额外处理并不明显。但对于Facebook,Twitter和Flickr等流量较大的网站来说,SSL造成的负担非常重,以至于他们不得不使用专用的SSL编码/解码硬件。
所以基本上是的,最小化使用SSL的页面数是有意义的。这就是为什么您经常看到银行网站只通过https保护实际帐户页面。主页/登录页面通常是普通的旧http。
另一方面,除非你真的是像Twitter或Facebook或Gmail这样的网站,否则担心这是一个过早的优化。如果可以,首先要做到这一点。请注意此问题,并在网站最终获得大量流量时了解升级策略。
我的老板有一句话:
这是一个快乐问题。首先解决悲伤问题 没有足够的用户,那么你就会开心来解决问题 要求你重构你的架构。
答案 1 :(得分:17)
您不使用SSL加密网站。你加密连接。因此,如果您为网络服务器启用了SSL,只需将https://添加到网址即可加密连接,网址指向的任何网页都会在传输时加密。
所以 https://www.website.com/index.html已加密,http://www.website.com/index.html未加密
我更喜欢这种情况,所以我总是将加密的页面放在子域中,例如。 https://secure.website.com/index.html
SSL附带了几个问题
1 /基本SSL证书仅对特定域名有效,因此,如果证书是www.website.com,并且有人跟随website.com的链接,则会显示警告。 (见下面的注释)2 / SSL需要专用IP(您似乎拥有)。这意味着如果您在共享平台上,可能会遇到问题。这是因为在HTTP中,主机或域名是标题的一部分,但标题是加密的,因此服务器无法知道将请求路由到何处。 (见下面的注释)
听起来您真的需要使用熟悉电子商务和SSL的人的服务来帮助您。在知识和论坛反应有限的情况下驾驶雷区并不是最安全的事情。特别是如果发生金融交易,因为必须考虑其他要求,例如存储和使用信用卡号等财务信息的法律要求。
DC
附录:
对于捐款,请考虑Paypal。他们有一个完整的捐赠解决方案,更多的人会信任它,而不是自己的解决方案。
2016年编辑: 世界继续前进,上面的一些建议并不像最初的回答那样真实。
SSL不再需要专用IP地址。 SNI(服务器名称指示)解决了这个问题,现在几乎是通用的(winXP上的IE8不支持它和一些手机)。
您会发现大多数证书供应商现在都将主域名作为SAN(主题替代名称)包含在证书中。也就是说,如果您获得www.website.moc的证书,他们将为www.website.moc和website.moc提供证书。不要假设这一点,请确保您的证书颁发机构指定它。
答案 2 :(得分:4)
另外,您提到SSL证书可以保护IP地址。这是不正确的。 SSL证书对应于域。存在许多方案,其中多个域共享单个IP地址。如果其中一个共享域具有SSL证书,则该证书仅适用于该域,而不适用于其他域。
答案 3 :(得分:1)
Cookie安全性是我为您的方法指出的主要内容。
登录安全登录页面的用户会为其会话获取Cookie,对吗?那个cookie随后以纯文本传输,供有人观看电汇(Firesheep)拦截和窃取会话。
在SSL的协商时间和CPU负载方面存在额外的开销,但它相当小。如果您的网站上存在任何敏感信息,请在任何地方使用SSL。
答案 4 :(得分:0)
其他答案在这方面不准确:SSL证书会绑定到分配给静态单个域名的专用IP地址,除非您购买通配符SSL。域名和IP都必须与证书匹配。