我是否需要简单社区网站的SSL证书？

Question

我正在部署一个小型社区站点。用户注册只需要用户名，电子邮件地址和密码。我甚至不要求一个名字，当然也不会存储任何敏感数据。

我还应该投资SSL证书吗？在没有人的情况下传输用户密码会被认为是可怕的做法吗？

这仅仅是一个个人项目，所以我想避免，如果我能带来的额外成本，但我不禁觉得我是不负责任的，如果我没有正确固定一切。

Answer 1

我倒是[R推荐获得SSL证书，并且在用户向您的网站提交密码时要求https。尽管你的用户不会传输任何敏感信息，但仍然有一个很重要的原因：很多人在他们访问的每个站点都使用相同的用户名和密码，并且如果有人在开放无线的咖啡店使用笔记本电脑，应该尽你所能地让他们和他们的身份安全。

如果成本是一个问题，一个很好的妥协是CACert。他们的证书在大多数浏览器中尚未被默认信任，但具有可验证身份的任何人都可以免费获得证书。

Answer 2

我不会打扰SSL这样的事情。

想一想......互联网上有100万个留言板，他们都没有使用SSL。

除非你是存储信用卡号码或其他敏感的金融/个人信息，我只是不认为这是值得的成本。

Answer 3

只要用户不提供任何信用卡或其他个人信息，我不会理会任何支付证书。

但是，如果这是一个社交网站，那么我会考虑得到一个。

Answer 4

可能没有用，但有些SSL提供商比其他www.instantssl.com更便宜例如是相对便宜的。也有一些主机允许你使用共享的证书，您可以使用这些只是为了登录过程中，虽然您的域名将不会在至少流量将被加密的地址栏，

Answer 5

SSL可能是这个矫枉过正。

鼓励用户不要使用他们用来存储敏感信息的密码！你可能不会存储任何重要的东西，但如果“kitty37”也是他们的银行账户的关键，事情可能会变糟糕。

这提醒我 - 人们应该检查CMU的Perspectives项目，它试图解决自签名证书的问题一方面难以使用，另一方面通过使用一个监测大量安全​​证书的协商一致的监控服务来潜在地伪造“官方”证书，并观察如果他们正在改变等

他们有一个Firefox扩展，因此它已经死了易于使用的（也有一个OpenSSH客户端）。http://www.cs.cmu.edu/~perspectives/

Answer 6

在小型社区网站上投资SSL证书将浪费您的资金。我相信花时间确保用户注册和登录页面易于访问和理解，让用户有足够的时间和空间来查看他们是否会保持登录状态。如果你总是将这样的参数设置为“否”，那么这个例子不会成为问题。

如果我们正在处理一个大型网站，那么得到它可能是一个好主意。您是否考虑过使用OpenID作为用户登录的手段？它似乎适合这个网站，所以为什么不自己实施呢？

Answer 7

只要你不介意一个人能够冒充他人，或者在途中嗅探数据，那么你就不需要SSL。

您可以尝试在没有SSL的情况下尽可能安全地创建网站。但是，如果您不确切知道后果是什么，以及会暴露什么，以及如何在没有SSL的情况下保护它，这是非常危险的。在某些情况下，真正的保护可能不可能。

此外，请记住人们经常使用一个密码为多个帐户。这意味着数据库中的许多密码将与用户银行，电子邮件，网络等相同。

如果您让人们随身携带密码，则必须承担保护责任，即使您自己的网站安全并不重要。

我建议花20美元购买godaddy cert，只是为了确保。另外，请务必阅读会话安全性和安全认证方法。

Answer 8

SSl部分可能是矫枉过正的，更糟糕​​的是，它成为“货物​​崇拜安全”的真正诱惑 - 你做了一些听起来像安全但并没有真正添加的东西。

你最好考虑如何确保你正在构建一个强化的网站，并且保持你的安全补丁是最新的。

哦，还有一件事：温暖的用户他们没有使用安全的密码，所以他们不使用他们在他们所有的银行网站上使用的他们最喜欢的“乔”密码。

Answer 9

如果你只是想识别一个用户，为什么不允许OpenID像stackoverflow呢？ ;） http://openid.net/

Answer 10

感谢您的回复。我想我确信花一点钱保护人们的密码是值得的。

我考虑过使用OpenID。可能不会成为最初版本的一部分，但我可能会在稍后添加对它的支持。我会质疑我的观众如何理解OpenID的概念。由于观众的性质，我认为它适用于SO。我很难让普通大众召唤出一个OpenID的热情，只是为了使用可能是非常适中的网站。