Ganz einfach, welche Kriterien muss eine Website erfüllen, damit sie ein SSL-Zertifikat benötigt?
Die Website ist kein E-Commerce, wird aber Benutzerinformationen, Kontaktdetails und Ereignisinformationen enthalten.
Selbst wenn es technisch nicht erforderlich ist, vermittelt SSL den Benutzern nur zusätzliches Vertrauen in die Site?
Prost
Verwenden Sie SSL, wenn Sie sensible Informationen von Ihren Nutzern erfassen, die Kontaktdaten (IMO) enthalten. Persönlich versuche ich es zu vermeiden persönliche Daten über mich über einen unverschlüsselten Kanal zu übermitteln.
Am Ende ist es ein Urteilsspruch. Wenn Sie jedoch Adressen, Telefonnummern, Bankdaten oder andere Daten erfassen, die dem Benutzer zugeordnet werden können, wird die Verwendung von SSL empfohlen.
Offensichtlich gilt das nur, wenn Ihre Transportmethode unsicher ist (was das Internet per definitionem ist). Wenn Sie Ihre Website über einen bereits sicheren Kanal betreiben (z. B. ein internes Netzwerk, in dem Sie Ihren Benutzern vertrauen), dann gibt es nicht viel Sinn.
Wenn Sie sich jedoch dafür entscheiden, SSL zu verwenden, stellen Sie sicher, dass Sie ein gültiges, signiertes Zertifikat erhalten! SSL ohne ein signiertes Zertifikat ist sinnlos, da Ihre Endbenutzer der Authentizität des Zertifikats nicht vertrauen können. Das kostet leider Geld, weshalb viele kleine Webseiten nicht stören.
Bei SSL geht es um Vertrauen - die Zertifikate werden von einer "vertrauenswürdigen" Autorität signiert, sodass Benutzer sicher sein können, dass sie mit den richtigen Zertifikatsinhabern umgehen (im Gegensatz zu jemandem, der einen Man-in-the-Middle-Angriff durchführt). . Offensichtlich ist dieses Vertrauen nicht entscheidend - aber es ist ein zusätzlicher Schritt, um einen sicheren Datenkanal für Benutzerinformationen bereitzustellen.
Ich möchte SSL für jeden Bereich einer Website verwenden, in dem persönliche Informationen übertragen werden, z. Login, Registrierung, Kontoeinstellungen, Kontaktdaten, Benutzerinformationen.
Sehen Sie sich die Daten an, die angezeigt werden, und fragen Sie sich, ob Sie diese Informationen ungeschützt über sich herum veröffentlichen lassen wollen - gehen Sie von dort aus.
Wann immer Sie der Leitung nicht vertrauen können - Immer wenn jemand die Möglichkeit hat, in das über die Leitung gesendete Snooping hineinzuschnuppern (Netzwerkhub, MITM-Sicherheitslücke usw.) und was auch immer gesendet wird Wire kann Dinge enthalten, auf die zumindest ein kleiner Teilbereich Ihres Kunden keinen Zugriff hat.
Interessanterweise kombiniert SSL zwei Sicherheitskomponenten:
Normalerweise verwenden Benutzer SSL, da sie das Senden von Daten an den Server verschlüsseln. Dies ist wichtig, wenn Sie Kennwörter verwenden, aber von entscheidender Bedeutung, wenn Sie Kreditkarteninformationen verwenden. Zu diesem Zweck haben Benutzer normalerweise SSL nur für diese Seite. Dies ist nicht perfekt, da die nicht sichere Seite, auf der Sie landen, möglicherweise gefälscht wurde. Daher ist Ihre Seite bereits falsch. Es spielt also keine Rolle, ob die Seite verschlüsselt ist.
Was bringt uns zu ...
Die Identifikationskomponente von SSL ist ebenfalls interessant. PayPal zum Beispiel, wie ihre Zertifikate, weil es "beweisen" soll, dass PayPal es gekauft hat. Leider ist es den Nutzern egal oder bemerken dies trotz einiger Verbesserungen in den Browser-Benutzeroberflächen.
Selten ist es notwendig oder lohnend, ein Zertifikat zur Identifizierung (des Servers) zu bekommen, und IMHO sollten die zwei Komponenten von SSL getrennt werden (aber das ist eine andere Geschichte: p). Aber manche mögen argumentieren, dass es nützlich ist. Ich gehöre nicht zu diesen Leuten.