我希望这不是一个太宽泛的问题(如果是,我很乐意缩小范围)。
我们创建了一个小型 CRM 网络应用程序,我们希望保护用户的数据(我们永远不会存储信用卡详细信息,但会存储电子邮件)。
我们对整个 SSL/HTTPS 都是新手。有人对要使用哪种证书类型有任何建议吗?我见过它们的价格从 12 英镑到 1200 英镑不等!
提前致谢!
【问题讨论】:
标签: security web-applications ssl https crm
昂贵的证书颁发机构通常会向您收取他们在验证您确实是您时所做的工作的费用。他们会打电话给你,检查你的商业登记等。这背后的合理性是攻击者可能能够欺骗更便宜的证书颁发者给他一个带有你名字的 SSL 证书。攻击者很难获得虚假、昂贵的证书。
但是,这里的问题是最终用户几乎不可能看到昂贵和便宜的证书之间的任何区别。您购买昂贵的证书不会以任何方式阻止攻击者欺骗廉价的发行者给他一个证书。
因此,除非您有非常有意识的用户能够真正看到昂贵证书和冒充者廉价伪造之间的区别,否则没有技术理由购买昂贵的证书。
一种特殊类型的证书称为 EV 证书。它们更昂贵,并且会在您的浏览器地址栏中生成绿色背景或类似信号。如果您的用户注意到这一点,这可能会有所作为。
另一个问题是,许多廉价发行人实际上是更昂贵公司的子公司,实际上会给您完全相同的证书。 IE。您从 Rapidssl 获得的证书过去与您从更昂贵的 Geotrust 获得的证书相同(这可能已经改变)。
最后一点。确保证书颁发者实际上被大多数浏览器识别。只要您使用相当知名的发行人,这不是问题。
【讨论】: