Forum PHP.pl

Jak nazwie tematu:
Czy warto wyposażać domenę w ten certyfikat SSL?

https://letsencrypt.org

Ja spotkałem się z tym gdy potrzebowałem wymusić SSL na hostingu dla subdomeny projektu testowego. Mankament tego certyfikatu to ważność przez okres 3 miesięcy z możliwością przedłużenia. Na hostingu ATTHOST spotkałem się z usługą, że administrator konta może sam aktywować SSL LEA, co jest bardzo pomocne i szybkie. Ale wciąż martwi mnie zasadność tego certyfikatu w porównaniu z płatnymi certyfikatami SSL?

Czy dla pomniejszych projektów, tj. małe blogi, porfolio, strony o małym ruchu warto wyposażać w taki certyfikat czy lepiej żeby go nie było?

strony zawierające formularze logowania, płatności, inne przysyłajce dane mogące się komuś postronnemu przydać -> warto, na moje jest nawet taka konieczność
reszta -> nie warto i chyba nigdy nie będzie warto

Podobno przy pozycjonowaniu przydaje się gdy strona ma SSL, Google lubi to.

imo ostatnio bardziej lubi responsywnośc jak się należy + czas ładowania strony, generalnie dostosowanie do mobile niż ssl -> ofc to moje subiektywne zdanie, a ssl jest czynnikiem rankującym tylko nie tak ważnym jak przedstawiają to handlowcy hostingów

Zawsze warto mieć SSL. Już pomijając takie rzeczy jak najnowszy firefox, który robi dym na wszystkich formach nie ssl, to w niczym to nie przeszkadza.

Jak masz VPSa to instalacja Let's Encrypt jest bananla, dodajesz do tego regułke do crona i zapominasz. A jak nie chce Ci się bawić w VPSy, to możesz też spróbować puścić przez cloudflare, też "daje" SSLa. Ogólnie SSLa zawsze warto mieć, nawet kiedyś dorzucisz jakiś prosty formularz logowania, to nie musisz się więcej przejmować o bezpieczeństwo w byle jakiej sieci

Dalaczego nie warto mieć szyfrowania na całą stronę tylko na wybrane części?

Robienie ssl na kilka podstron jeśli ma się na całą domenę ? Porażka. To tak jakby tylko przednią szybę w aucie bo reszta nie musi być czysta...

Nie wiem czy nadal aktualne: https://www.semtec.pl/wplyw-bezpiecznego-po...wanie-w-google/

Pamiętaj, że są różne rodzaje SSL. SSL DV, te najtańsze często ograniczają się do domeny i subdomeny www. Pozostałe subdomeny są pominięte.
I sprawa druga, czy opłaca się kupować SSL na całą domenę, skoro nie wykorzysta się w pełni tego co daje droższy SSL?

Więc jeżeli mamy porównywać to:
- przednia szyba umyta w myjni samochodowej,
- a pozostałe umyte na parkingu przez właściciela samochodu.

Ale pieprzysz glupoty. O HPKP i HSTS pewnie nawet nie slyszales. Pomijajac oczywiscie ze LetsEncrypt sie do tego nie nadaje.

Ten post edytował q.michal 30.03.2017, 17:49:23

@Tomplus certyfikat na domena.pl nie zawsze obejmuje www.

@q.michal a co ma piernik do wiatraka? Czemu LE się nie nadaje?

Tutaj nie chodziło o wildcard *.domena.tld tylko używanie SSL na domena.tld/login, domena.tld/payment, ale już nie na domena.tld/blog itd.

semantyka strona -> domena

jak masz ssl na domenę to ofc szyfrujesz całość, nie przyszło by mi do głowy nawet by szyfrować tylko część, wyobrażam sobie burdel w .htaccess
ale jak ktoś ma blog o zielonej herbatce to na cholerę mu ssl?

HPKP polega na przypieciu klucza w konfiguracji vhosta. Okreslasz jego TTL. LetsEncrypt wystawia cert wazny 3m-ce, wiec przypinanie takiego certyfikatu mija sie z celem.



No wlasnie na cholere. HTTP/2 wymaga wrecz stosowania SSLa.
Swiat zmienia sie na lepsze.

@q.michal
Pamiętaj że LEA ma opcję przedłużenia, a nie wygenerowania nowego.

Pamietaj ze generujesz odcisk dla certyfikatu a nie dla klucza - a ten co 3 miesiace bedzie inny (podmieniasz pliczek CRT, PEM, czy w jakim formacie go sobie trzymasz).

tak jak mówiłem, niektórzy będą twierdzić że trzeba dla all, inni podejdą do sprawy chłodniej i zabezpieczą to co faktycznie wymaga zabezpieczeń mimo pianotoku "znawców"

Najwyrazniej nie wiesz o czym mowisz

W LE da się w HPKP, niemniej jest to niesamowicie udziwnione i raczej bym się w to nie bawil. Pytanie brzmi: po co wgl HPKP? W 90% przypadków IMO jest to typowa armata na muchę, a ryzyko zepsucia czegoś jest naprawdę duże.

Co do SSL for all: nie tylko HTTP/2.0 wymaga SSL. Połowa ciekawszych APIs w HTML5 tego wymaga, czego najlepszym przykładem jest Service Worker. Ba, dostęp do kamerki i mikrofonu też już jest SSL only, Chrome ostatnio nawet geolokalizację przesunął za SSL – a zgodnie z ich polityką każde "powerful features" zostanie tam przesunięte (zresztą W3C to popiera). Prawda jest taka, że jeśli chce się robić współczesne aplikacje webowe, to bez SSL-a nie da się już niemal nic.

Pomijam już fakt, że Chrome dev po wykryciu form > [type=password] na stronie bez SSL rzuca ostrzeżenie przy wypełnianiu takiego formularza (przykładem choćby to forum), a w przyszłości ma w ogóle taką możliwość blokować.

Prawda jest taka, że SSL na chwilę obecną to must-have i chyba tylko statyczne strony z newsami/artykułami mogą se pozwolić na jego niewdrażanie (a i tak przecież każda taka strona zyskałaby przez przejście na HTTP/2.0, nie wspominając o trybie offline czy PWA). Więc nie, nie jest to żaden "pianotok "znawców"" tylko realia. I radzę nie podchodzić do tego tak chłodno, bo ostatecznie można się obudzić z ręką w czymś ciepłym