¿Qué importancia tiene un certificado SSL dedicado en comparación con el de comercio electrónico?

Navega tus respuestas
1

En mi trabajo, hemos estado usando Network Solution eCommerce durante muchos años y han estado trabajando muy bien para nosotros. Sin embargo, a medida que pasan los años, sus servicios se vuelven cada vez más obsoletos. Como desarrollador web en 2014, trabajar con un diseño estrictamente basado en tablas es frustrante. La necesidad constante de utilizar JavaScript para modificar el diseño, así como el uso de varios trucos de CSS me ha llevado a buscar una nueva solución. A mi jefe tampoco le importaría alejarse de la plataforma.

He estado mirando Shopify desde hace algún tiempo. Es un sueño de los diseñadores en términos de comercio electrónico, pudiendo diseñarlo desde cero utilizando HTML 5, CSS adecuado y eliminando la necesidad de todos los trucos de JavaScript y CSS. Sin embargo, utilizan un certificado SSL compartido en lugar de un SSL dedicado. En nuestro sitio actual con Network Solutions, cuando un usuario va a nuestro proceso de pago, va a enlace . Con Shopify, van a enlace .

Esto realmente no atrae a mi jefe. Él cree que como una empresa mediana y de buena reputación, si un cliente notara ese cambio en la URL, o bien a) disuadiría de continuar, o b) nos haría ver más pequeños / menos fiables que tener nuestro propio SSL. Entiendo su punto, pero no estoy seguro de que a muchos usuarios les importe. Ya usa Shopify para uno de sus negocios secundarios, por lo que está familiarizado con la plataforma y le encanta, pero no está seguro de que el problema de SSL sea adecuado para nuestro negocio.

Supongo que estoy buscando algunas opiniones de otras personas sobre este tema. A veces puedo convencerlos de que realicen cambios, incluso si no les gusta, así que me gustaría tener algunas opiniones e información de otras personas que me respalden un poco. Tenemos muchas más ventajas para hacer el cambio que los contras, con los contras solo como SSL.

    
pregunta Devin 19.06.2014 - 21:07
fuente

1 respuesta

4

El "certificado SSL compartido" en realidad se traduce de forma visible a una propiedad estructural subyacente, es decir, que Shopify es una plataforma de comercio electrónico compartida . Cuando usas Shopify, tu tienda se está ejecutando en sus sistemas. Si eso te hace ver como un negocio barato, entonces bueno, supongo que eres un negocio barato, después de todo. El certificado SSL compartido es solo un punto técnico en el que se evidencia su bajo costo.

Técnicamente , tener tu propio nombre para la conexión SSL puede estar en desacuerdo con algunas restricciones por parte de Shopify. Se debe a lo siguiente:

  • En HTTPS, el SSL ocurre primero; la solicitud HTTP (que incluye el nombre del servidor de destino, tal como se ve desde el cliente) se enviará solo cuando se complete el protocolo de enlace.
  • Durante el protocolo de enlace, el servidor muestra su certificado al cliente.
  • El cliente espera que el nombre del servidor deseado (como aparece en la URL) sea parte de las identidades contenidas en el certificado del servidor.

Por lo tanto, un servidor que aloja varios (muchos) sitios con nombres distintos en la misma dirección IP debe adivinar de alguna manera el nombre del servidor deseado, a fin de utilizar el certificado correcto. Dicha adivinación puede usar la extensión Server Name Indation , si el cliente lo envía, pero IE en Windows XP sí lo hace no enviar ningún SNI. La consecuencia es que si Shopify quisiera admitir nombres de servidores específicos de la tienda para SSL, tendrían que hacer una de las dos cosas siguientes:

  • Asigne una nueva dirección IP para cada tienda (dada la escasez relativa actual de direcciones IP, esto puede resultar costoso).
  • Perder clientes XP + IE (una decisión comercial no trivial).

En cualquier caso, Shopify es Dios: tienen control total sobre tu tienda en línea. El certificado SSL compartido corresponde a ese hecho; no agrega ningún problema de seguridad adicional.

(De lo contrario, obtienes lo que pagas. Si quieres tu SSL con tu propio nombre, entonces debes tener tu propia dirección IP, preferiblemente también tu propio servidor ). / p>

Personalmente, como cliente en línea ocasional, me siento más seguro cuando veo que el sistema de pago es administrado por un banco o alguna plataforma especializada como Shopify. Esto se debe a que sé que el 99.99% de los fraudes y otros eventos adversos similares no ocurren durante el tránsito del número de tarjeta de crédito sobre SSL, sino después, en el lado del servidor. Realmente lo prefiero cuando los profesionales están a la orden. Los atacantes no se molestan en intentar ejecutar un servidor SSL falso para detectar una docena de números de tarjetas de crédito; prefieren piratear los servidores de aficionados para robar miles de números de tarjetas de crédito donde se almacenaron (mal)

Sin embargo, soy conocido por no pensar como un cliente promedio. Ese es el destino de ser un profesional de seguridad de la información, creo.

    
respondido por el Thomas Pornin 19.06.2014 - 21:59
fuente

Lea otras preguntas en las etiquetas

Formas de certificar un SaaS para seguridad [cerrado] Aísle dos discos duros con dos sistemas operativos