SSL 证书。对于哪些页面？

Question

网上商店哪些页面需要使用SSL证书？该网站仅供注册用户使用，并且付款是通过第三方提供商进行的。 我想：登录、注册、更改密码。

还有其他推荐吗？

Answer 1

只需对所有页面进行 SSL 加密即可。

您可能有一个会话 cookie，但您绝对不希望通过未加密的连接发送它。除此之外，没有充分的理由不在每个页面上使用 SSL。

除此之外，如果地址栏中的“SSL 图标”在多次页面更改时出现并消失，看起来很奇怪。

Answer 2

对所有页面使用 SSL 非常重要。 SSL 不仅可以防止窃听，还可以确保内容不会通过网络被篡改。如果您不使用 SSL，中间人可以更改任何他想要的内容。想象一下以下场景：

• 页面 A（无 ssl）：非常无趣
  没有秘密内容的网站。链接至
  您登录页面（页面 B）。
• B页
  (ssl)：您的登录页面。

用户请求页面 A。中间人攻击可以更改页面 A 上的链接，使其指向他控制的服务器，从而进行高级网络钓鱼攻击。您的用户信任并跟踪被操纵的链接，因为它似乎来自页面 A。如果没有 SSL，您的用户就无法判断服务器输出已被篡改。只要您的用户关心浏览器警告（不幸的是，几乎没有人关心），两个页面上都使用 SSL，这样的攻击就不可能发生。

Answer 3

根据页面发送或接收机密信息来使用 SSL。您的“关于我们”或“产品和服务”页面不需要使用 SSL。您提到的页面（登录、注册、更改密码）可以。