我正在为一家公司开发一个后端部分,他们需要尽可能多的安全性,因为他们会在其中提供合理的信息。
他们要我添加SSL,我添加了(网站用codeigniter编码),但我不知道是否真的需要SSL证书。
考虑到这个网站只能通过一组两个不同的IP访问,他们拥有的两个办公室我认为不需要获得证书。我是对的吗?
编辑2月24日: 数据包含项目信息,客户列表,因此敏感。
所以我想我会选择自签名的ssl。
谢谢大家
答案 0 :(得分:1)
除了之前回答过的人之外,还应该记住一些其他问题:
本网站的用户是否会在任何时间点通过无线连接连接和传输此敏感信息?如果是这种情况,那么是的,您需要SSL。
HTTPS不像以前那样对服务器资源造成负担。特别是对于仅在有限数量的用户使用的网站,您当然应该能够提供最大数量的用户。
如果这是一个私人网站,并且费用是个问题,请使用自签名证书。 OpenSSL工具包是您最好的选择。有许多使用OpenSSL设置自签名证书的指南。
此敏感数据是否涉及法律问题?如果您在客户数据库中传输客户信息,包括电话号码,邮政地址,电子邮件地址,登录信息 - 甚至更严重的信用卡号码 - 那么您需要SSL。问问自己,如果没有SSL,您是否会信任那些传输您相同信息的公司。
如果客户要求并支付费用,这对您作为开发人员来说不是一个不应有的负担,而且作为开发人员,您真的不想处于您争论的位置安全性较低。如果以后出现问题,它会回来咬你。盖住你的后端。
将此与IP限制访问相结合。如果可以,请在Apache配置级别执行此操作。如果没有,那么用.htaccess做。为什么在Apache级别?再次,如果您忘记将限制放在.htaccess中,或者万一其他人进来并意外移除它们,则会覆盖您的后端。
如果对此有任何疑问,请使用SSL。
答案 1 :(得分:0)
需要SSL证书,因为有人可以在去往您服务器的途中阅读请求内容。您无法在没有证书的情况下将https添加到网页(请检查浏览器页面地址中是否有 https 协议)。
在开发阶段,您可以自己生成SSL证书(使用openssl),无需购买有效证书。浏览器会警告证书没有由任何机构签名,但我认为这不是大问题。
答案 2 :(得分:0)
如果您需要保护clinet-server通信(http请求/响应标头和数据)不被窃听,那么您需要在服务器上安装SSL,并使用https协议。当您想要隐藏用户凭证时,这非常有用。
如果它只是允许/禁用对所提到的IP地址的访问,那么它足以在http服务器配置中限制它(通常是.htaccess)。
请注意,https请求需要更多服务器/客户端资源(CPU),因此如果不需要,则不应使用它。