安全性是任何网站成功的关键因素。 对于需要从访客那里收集PIA或“个人身份信息”的网站,情况尤其如此。 考虑一个网站,要求您输入一个社会安全号码,或者更常见的电子商务网站,您需要添加信用卡信息才能完成购买。 在像这样的网站上,安全不仅仅是来自这些访问者,它是成功的关键。
当您构建电子商务网站时,您需要设置的第一件事是安全证书,以确保您的服务器数据安全。 设置完成后,您可以选择创建自签名证书或创建由证书颁发机构批准的证书。 我们来看看这两种网站安全证书方法的区别。
签署和自签证明之间的相似之处
无论您是由证书颁发机构签署证书还是自己签署证书,都有两件事完全相同:
换句话说,这两种证书都会加密数据以创建一个安全的网站。 从数字安全的角度来看,这是该过程的第一步。
为什么你会支付证书授权
证书颁发机构会告诉您的客户,此服务器信息已由可信来源验证,而不仅仅是拥有该网站的公司。 基本上,有一家第三方公司已经验证了安全信息。
最常用的证书颁发机构是Verisign。 根据使用的是哪个CA,域将被验证并颁发证书。 Verisign和其他可信的CA将验证所涉及的企业是否存在以及域的所有权,以提供有关该网站的合法安全性。
使用自签名证书的问题是几乎每个Web浏览器都会检查一个https连接是否由已识别的CA签署。 如果连接是自签名的,这将被标记为潜在风险,并且会弹出错误消息,鼓励您的客户不信任该网站,即使它确实是安全的。
使用自签名证书
由于它们提供相同的保护,因此您可以在使用签名证书的任何地方使用自签名证书,但有些地方比其他地方效果更好。
自签名证书非常适合测试服务器 。 如果您创建的网站需要通过https连接进行测试,则不必为该开发站点的签名证书付费(可能是内部资源)。 您只需告诉您的测试人员他们的浏览器可能会弹出警告消息。
对于需要隐私的情况,您也可以使用自签名证书,但人们可能不会担心。 例如:
- 用户名和密码表单
- 收集PIA的个人信息但非财务信息
- 在只有用户是知道并信任你的人的表格上,比如公司内联网
它涉及的是信任。 当你使用自签名证书时,你对客户说:“相信我 - 我就是我说的我。” 当您使用由CA签署的证书时,您会说:“相信我 - Verisign同意我是我自称的人。” 如果您的网站向公众开放,并且您试图与他们做生意,那么后者是一个更强大的论据。
如果您正在进行电子商务,则需要签名证书
如果您的客户使用它来登录您的网站,您的客户可能会原谅您的自签名证书,但如果您要求他们输入信用卡或Paypal信息,那么您确实需要签名证书。 大多数人信任签名证书,并且不会在没有HTTPS服务器的情况下开展业务。 因此,如果您试图在您的网站上销售某种商品,请投资该证书。 这是做生意和从事网上销售的成本的一部分。
Jennifer Krynin的原创文章。 由Jeremy Girard编辑。