Luke Sawczak
2017-09-13 20:33:12 UTC
我知道SSL對網站用戶的好處。它創建了一個合同,使用戶可以確定與其進行交易的實體是其聲稱的身份,並且所傳遞的信息是加密的。我還對其他好處(例如,從HTTP / 2帶來的速度好處)有所了解。
但最近我想知道的是,該網站是否以類似的方式從此次交易中受益。也就是說,如果啟用SSL,我的網站是否會變得更加安全不受攻擊?我想是因為我也知道與我進行交易的客戶端是經過認證的,並且我發送給他們的信息是加密的。但是,任何客戶不能以不道德的方式行事,並使用自簽名證書等聲稱自己是他們喜歡的人來訪問我的網站嗎?
順便說一句,我已經了解了我所擁有的知識自我指導的方式,因此,如果這是一個基本問題或 XY問題,請毫不猶豫地將我引向基本資源或讓我直接學習。 對於繼續使用SSL的一般原因繼續回答或發表評論的每個人:這些都是值得讚賞的,並且無疑對新用戶有用。就是說,我確實將它作為我建立的每個網站的一部分,並且對安全性特別好奇。在SE傳統中,我只想提醒人們在可能的情況下繼續提這個問題。 (很抱歉,標題最初缺少關鍵限定符!)
+1表示自我標記為XY問題。(雖然不是,好問題)
在大多數情況下,SSL根本無法證明有關客戶端的任何信息-當然,大多數網站不需要客戶端具有任何形式的證書(儘管有很多方法可以要求它)。在基本級別上,它允許對客戶端和服務器之間雙向的通信進行加密,並且在某些情況下,允許客戶端驗證該站點屬於特定所有者。
現在的主要誘因是,當用戶嘗試在您的網站中鍵入內容時,他們不會收到“此網站不安全,請不要輸入機密信息”消息。
“用戶可以確定與他們進行交易的實體就是它所聲稱的那個人”,這可能會產生誤導。用戶可以確定網站所有者擁有該網站和服務器證書,但不能確定該網站特別是由任何人擁有。具有合理域名的網絡釣魚站點仍可以使用HTTPS url,但根本不與“真實”域相關聯。只有EV允許更高級別的信任。
相關閱讀/常見問題解答:https://doesmysiteneedhttps.com/和https://whytls.com/
有一個致命的爭論:您的用戶正在登錄,並且有人可能會竊取其憑據並濫用您的網站。想想網絡郵件。您的用戶不高興是因為有人閱讀了他們的郵件,但是您遇到了問題,因為有人使用您的服務器通過您的服務器發送垃圾郵件並將您列入了黑名單。