20
我有一个客户端需要SSL来保护在线捐款,但我对如何/何时使用SSL的经验有限。SSL - 如何以及何时使用它
据我所知,在购买证书时,我将该证书分配给整个域(真的是IP地址)。有没有办法将加密隔离到网站的一个页面,或者我应该继续并保护整个网站,即使只有一个网页需要它?
不确定这里的最佳实践。请指教。
A
回答
34
SSL会带来相当多的额外处理时间。对于低带宽站点,SSL所需的额外处理并不十分明显。但对于像Facebook,Twitter和Flickr等流量很大的站点来说,由SSL造成的负载足够大,他们将不得不使用专用的SSL编码/解码硬件。
所以基本上是这样,使使用SSL的页面数量最小化是有意义的。这就是为什么你经常看到银行网站只通过https保护实际的账户页面。主页/登录页面通常是纯旧的http。另一方面,除非你真的是像Twitter或Facebook或Gmail这样的网站,否则担心这是一个过早的优化。首先尽可能简单。请注意这个问题,并注意当您的网站最终流量很大时的升级策略。
我的老板有句名言:
这是一个快乐的问题有。首先解决伤心问题 没有足够的用户,那么你会是开心有一个问题, 要求你重构你的架构。
17
您不用SSL加密网站。你加密连接。因此,如果您为web服务器启用了SSL,只需将https://添加到url即可加密连接,并且url指向的任何页面都将被加密,而正在运输。
所以 https://www.website.com/index.html加密,并http://www.website.com/index.html未加密
我宁愿为永远不会发生,所以我总是把我的加密网页中的一个子如。 https://secure.website.com/index.html
SSL有一对夫妇的疑难杂症的
1 /一个基本的SSL证书将只对特定的域名是有效的,所以如果该证书是www.website.com有人跟随链接网站.com会显示警告。 (请参阅下面的注释)
2/SSL需要专用IP(您似乎有)。这意味着如果您在共享平台上,可能会遇到问题。这是因为在HTTP中,主机或域名是标题的一部分,但标题被加密,因此服务器无法知道将请求路由到哪里。 (请参阅下面的注释)
听起来你真的需要雇用熟悉电子商务和SSL的人来帮助你。以有限的知识和论坛回应来驾驶雷区并不是最安全的事情。尤其是在金融交易发生的情况下,因为还有其他必须考虑的要求,比如存储和使用诸如信用卡号码之类的财务信息的法律要求。
DC
附录:
捐款考虑贝宝。他们拥有完整的捐赠解决方案,相比推出自己的解决方案,更多的人会信任它。
编辑2016: 世界继续前进,上面的一些建议不像最初回答时那样正确。
SSL不再需要专用IP地址。 SNI(服务器名称指示)解决了这个问题,现在几乎是通用的(winXP上的IE8不支持它和几个电话)。
您会发现大多数证书供应商现在将主域名称作为SAN(主题替代名称)包含在证书中。也就是说,如果您获得www.website.moc的证书,他们将为www.website.moc和website.moc提供证书。不要认为这一点,确保您的认证机构指定它。
+1
注意:根据我的浏览器https://secure.website.com/index.html是不安全的;)哈哈不得不... – 2013-12-11 06:40:49
+0
关于2 /,现在有[服务器名称指示](https://en.wikipedia.org/wiki/Server_Name_Indication)(SNI)扩展来解决该问题,它受到所有主流浏览器的支持。 (我认为[Windows XP现在已经死了](http://www.troyhunt.com/2014/03/the-prophesied-windows-xp-and-ie-8.html)。) – Perseids 2014-04-25 05:55:16
4
此外,您提到SSL证书可以保护IP地址。这是不正确的。 SSL证书对应于一个域。许多方案存在几个域共享一个IP地址的情况。如果其中一个共享域具有SSL证书,则该证书仅适用于该域,而不适用于其他域。
0
其他答案在这方面不准确:除非您购买通配符SSL,否则SSL证书会绑定到分配给静态单个域名的专用IP地址。域名和IP都必须与证书相匹配。
+1
客户端只验证主机名称与其为主机名称颁发的SSL证书(即,除主题替代名称IP条目中极为罕见的显式IP地址)所请求的名称相匹配。 DNS解析到IP地址与它无关。 (例如,如果您经常更改地址,则可以使用动态DNS。)另一种方式很困难:在同一个IP地址上使用多个证书:SNI可能会有这种情况(但目前并不总是被支持)。您还可以将多个主机名与多个SAN(或通配符证书)一起使用。 – Bruno 2012-05-04 23:29:14
1
Cookie安全性是我指出的主要方法。
登录安全登录页面的用户会为他们的会话获取cookie,对吧?然后,cookie以纯文本形式传输给有线人员(Firesheep)拦截和窃取会话。
在谈判时间和SSL的CPU负载方面存在额外的开销,但它非常小。如果您的网站上有任何敏感内容,那么只需在任何地方使用SSL即可。
相关问题
- 1. DEP和ASLR以及如何使用它?
- 2. json以及如何使用它
- 3. ViewBag,ViewData,TempData,Session - 如何以及何时使用它们?
- 4. 字体:什么,何时以及如何使用它们?
- 5. 何时以及如何使用QueryString [“ReturnUrl”]
- 6. 何时使用json以及何时使用jquery $ .ajax进行jsonp?
- 7. 为什么需要“委托”?何时使用它以及如何应用它?
- 8. IIS 7默认使用哪种SSL版本,以及如何强制它使用SSL v3?
- 9. 脚本异步它是如何实际工作,以及何时使用它
- 10. 如何使用Curl和SSL以及cookies登录
- 11. 如何创建AS3动态类以及如何使用它?
- 12. Python中的嵌套字典:如何使它们以及如何使用它们?
- 13. Plist:它是什么以及如何使用它
- 14. ObjectSpace - 它是什么以及人们如何使用它?
- 15. PatternPathMotion Android,它究竟做了什么以及如何使用它?
- 16. 应用javascript函数做什么以及何时使用它?
- 17. 如何使用facebookAPI以及我在哪里可以找到它?
- 18. 有人可以解释互斥体以及它如何使用?
- 19. 什么是MySQL中的锁定以及何时使用它?
- 20. 什么是ICustomTypeDescriptor以及何时使用它?
- 21. @stateful和@sessionScoped - 区别以及何时正确使用它们?
- 22. C#代表 - 你多久会使用它们,以及何时?
- 23. 何时使用Java缓存以及它与HashMap的区别?
- 24. html标题等级以及何时使用它们
- 25. 代表什么是代表以及何时使用它?
- 26. 正确使用Apache HttpClient以及何时关闭它。
- 27. 关于RegionBootstrap以及何时使用它的疑问
- 28. 正则表达式中的\ z和\ Z有什么区别,以及何时以及如何使用它?
- 29. 什么是deps.json,以及如何使它使用相对路径?
- 30. 何时使用Cucumber以及何时使用RSpec?
http://stackoverflow.com/questions/1924119/can-you-ssl-one-page-in-an-a-net-application – 2010-01-08 02:12:24
如果你不知道如何使用SSL,并且你正在保护钱,为了gawd的缘故找到一个知道如何使用它的人! – 2010-01-08 02:15:39
您不能使用证书来保护IP地址。证书绑定到域只有 – DeveloperChris 2010-01-08 02:49:27