Frage:
Sollte ich in meinen Testdomänen ein SSL verwenden?
carla
2017-03-13 18:55:03 UTC
view on stackexchange narkive permalink

Ich verwende ein SSL in meiner Hauptdomäne, auf das meine Clients zugreifen.

Ich habe jedoch eine zweite Domäne mit demselben Inhalt (einschließlich Anmeldeinformationen), die ich nur für Test- und Testzwecke verwende Entwicklung.

Soll ich diese Testdomäne auch sichern?

Warum würden Sie es nicht sichern?Was hält dich auf?
Der Preis des SSL-Zertifikats.
Es gibt viele kostenlose Möglichkeiten, SSL bereitzustellen.Selbstsignierte Zertifikate und LetsEncrypt.
Sehr interessant, ich werde einen Blick darauf werfen.
Wenn es den gleichen Inhalt hat, warum ist es eine Testdomäne?Bedeutet dies, dass ein Angreifer gültige Anmeldeinformationen erhalten kann, die für die _production_-Domain verwendet werden können, wenn sich ein Kunde über ein öffentliches WLAN in Ihrer _test_-Domain anmeldet?
BEEINDRUCKEND.Bitte verwenden Sie in Ihrer Testanwendung keine Live-Daten (INSBESONDERE KREDENTIALIEN) als Ihre Live-Daten ...
Wenn Sie sich in der EU befinden und Ihre Kunden keine Einwilligung zur Verwendung ihrer Daten in Ihrem Testsystem erteilt haben, verstoßen Sie tatsächlich gegen die Datenschutzgesetze.Sie sollten SSL verwenden (Testsysteme müssen live imitieren), aber Sie sollten auch Testdaten und nicht die Daten Ihrer Kunden verwenden.Wenn um ihre Zustimmung, warum um alles in der Welt würden Sie SSL nicht verwenden, um ihre Daten zu schützen?
Sechs antworten:
#1
+67
Philip Rowlands
2017-03-13 19:05:31 UTC
view on stackexchange narkive permalink

Ja, das solltest du. Möglicherweise müssen Sie testen, ob z. Eine bestimmte Anforderung funktioniert über HTTPS, aber das Testen auf einem Produktionssystem ist eine schlechte Idee (das Produktionssystem sollte stabil bleiben), und Ihr Testsystem sollte so genau wie möglich mit dem Produktionssystem übereinstimmen. Zweitens, wenn Sie die Anmeldedaten zwischen Domänen teilen, warum sollte die Testdomäne nicht auch gesichert werden?

Wenn der Preis des Zertifikats ein Problem darstellt, können Sie Folgendes tun:

  • Holen Sie sich ein kostenloses Zertifikat von Let's Encrypt.
  • Verwenden Sie ein selbstsigniertes Zertifikat.
  • Richten Sie Ihr eigenes internes Zertifikat ein Autorität für die Testdomäne (wahrscheinlich die beste Option).
Das Testsystem sollte so nah wie möglich am Live-System sein, mit Ausnahme der verwendeten Daten (die eng an Live-, aber Scheindaten angelehnt sein sollten).Ansonsten * testest du nicht *.Wie oft habe ich gesehen, dass Systeme bei der Bereitstellung aufgrund von Unterschieden zwischen der Live- und der QS-Plattform ausfallen .......
Guter Fang, @pwdst.Ich werde diesen Satz ein wenig umformulieren (mein unausgesprochener Punkt war, dass das Produktionssystem stabil bleiben sollte).
Zweitens: Richten Sie Ihre eigene interne Zertifizierungsstelle für die Testdomäne ein (wahrscheinlich die beste Option).
Kann jemand herausfinden, warum die letzte Option die beste ist?Welchen Vorteil hat die Verwendung eines Zertifikats von Let's Encrypt?(Ich zweifle nicht an Ihnen, nur neugierig, da dies nicht mein Fachgebiet ist.)
@Josh1billion beim Einrichten einer internen Zertifizierungsstelle bedeutet, dass Sie über ein vertrauenswürdiges Stammzertifikat verfügen, das Zertifikate für Ihre internen Server ausstellen kann.Wenn alle Ihre Testclients dieser Zertifizierungsstelle vertrauen, können Sie ein neues Zertifikat für einen bestimmten Server ausstellen, und Ihre Clients vertrauen ihm automatisch.Dies wäre wahrscheinlich schneller als das Warten auf eine externe Zertifizierungsstelle, und Sie müssten kein neues selbstsigniertes Zertifikat manuell an alle Ihre Testclients weitergeben.
@Josh1billion: Sie benötigen keine Internetverbindung, um ein neues Zertifikat zu erhalten, wenn Sie die Autorität haben (Offline-Arbeiten zulassen, ...).Sie können Zertifikate mit vielen Macken generieren (um Ihren SSL-Stack / Ihre SSL-Anwendung zu validieren), wenn Sie die Autorität sind.Sie können viele verschiedene Zertifikate ohne Ratenbeschränkungen erstellen (nicht sicher, ob dies zutrifft).... kurz gesagt Freiheit und Kontrolle.Für den Zugriff auf eine Domäne, auf die externe Benutzer zugreifen müssen, benötigen Sie natürlich eine vertrauenswürdige Zertifizierungsstelle.
Erwähnenswert ist auch, dass immer mehr neue Funktionen nicht über reguläres http funktionieren (wie Geolocation, Servicemitarbeiter und sogar Brotli-Codierung), sodass es nicht mehr nur um Verschlüsselung und Datenschutz geht.
#2
+12
Steffen Ullrich
2017-03-13 19:00:09 UTC
view on stackexchange narkive permalink

Ich habe eine zweite Domain mit demselben Inhalt (einschließlich Anmeldeinformationen), die ich nur für Test und Entwicklung verwende.

Wenn die zweite Domain denselben Inhalt bereitstellt und hat Die gleichen Anmeldeinformationen und auch über das Internet zugänglich, dann gibt es keinen Grund, warum es nicht den gleichen Schutz (dh SSL) wie die erste Domain erhalten sollte.

#3
+4
nasukkin
2017-03-13 21:57:03 UTC
view on stackexchange narkive permalink

Sie sollten nicht nur SSL für Ihre Testdomänen verwenden, sondern auch , wenn Sie Sicherheitsfunktionen wie HSTS Preloading aktivieren möchten.

Ich denke, dass das Vorladen von HSTS hier kein großes Problem darstellt.Auf dem Testserver werden sich diese Details wahrscheinlich sowieso regelmäßig ändern.
Das HSTS-Preloading schreibt vor, dass alle Subdomains auch mit HTTPS geladen werden, und ich denke, dieser Antwortautor hat angenommen, dass die Test-Sites Subdomains der Hauptdomänen sind.
@AyeshK Das ist richtig.
#4
+3
Shibasis Sengupta
2017-03-15 12:03:05 UTC
view on stackexchange narkive permalink

Das solltest du. Dies ist die kurze Antwort.

In der längeren Antwort wären Sie überrascht zu wissen, wie oft Sicherheitslücken von internen Benutzern einer Organisation auftreten. Wenn Ihre Testumgebung beispielsweise über Administratoranmeldeinformationen verfügt, bedeutet eine ungeschützte Transportschicht, dass jemand aus Ihrer Organisation (der kein autorisierter Administrator ist) möglicherweise die Administratoranmeldeinformationen abrufen und abrufen kann - was Sie nicht möchten.

Wenn die Zertifikatskosten ein Problem darstellen, können Sie jederzeit ein selbstsigniertes Zertifikat ausstellen lassen. Sie sollten jedoch sicherstellen, dass diese Signaturberechtigung (wer auch immer dieses interne Zertifikat für Sie generiert) als vertrauenswürdige Zertifizierungsstelle auf den Testdesktops installiert ist. Andernfalls kann Ihr Browser den Fehler auslösen, dass dieses Zertifikat von einer nicht vertrauenswürdigen Person signiert wurde. Wenn Sie 'certmgr.msc' in Windows ausführen, werden die vertrauenswürdigen Zertifizierungsstellen für einen bestimmten Computer angezeigt.

#5
+2
Stan Quinn
2017-03-15 09:04:47 UTC
view on stackexchange narkive permalink

Ja ... Tests sind nur gültig, wenn sie die Produktionsumgebung simulieren, einschließlich der Leistung über https. Platzhalterzertifikate sind ziemlich billig, also setzen Sie die Testdomäne einfach unter eine Subdomäne. Ihre Testdomäne sollte jedoch wahrscheinlich nicht öffentlich zugänglich sein, es sei denn, der Client benötigt Zugriff von zufälligen IP-Adressen, andernfalls sperren Sie sie für Ihren eigenen IP-Bereich im virtuellen Host oder in der Firewall. Außerdem können Sie auf diese Weise sicherstellen, dass der gesamte Inhalt Ihrer Website über https verfügbar ist.

#6
+1
Anton
2017-03-14 16:16:50 UTC
view on stackexchange narkive permalink

Sie benötigen es definitiv zu Testzwecken. Wir hatten Situationen, in denen sich das Verhalten unseres Systems bei SSL von einer unsicheren Verbindung unterschied.

Aus Sicherheitsgründen ist dies nicht erforderlich, da Sie Ihre Testumgebungen hinter VPN verschieben können.

Ihre erste Zeile wird von den anderen Antworten abgedeckt, Ihre letzte Zeile ist sehr schlecht formuliert. Sie möchten damit sagen, dass Sie die Site zwar noch sichern müssen, dies jedoch mit einem VPN und nicht mit einer SSL-Verbindung tun können.Dieser Vorschlag macht jedoch viele Annahmen über das Design, die Fähigkeiten und die Entwicklungsabsicht der OP-Situation.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...