Certificado SSL necessário para o meu site?

Sempre é considerada a melhor prática para todas as ocasiões em que você está coletando informações, para que essa troca de informações seja realizada por meio de uma conexão SSL (protegida com um certificado apropriado).

Se você fizer isso em um subdomínio de seu domínio principal ou em uma versão SSL de seu domínio principal, isso não fará diferença na transação geral, apenas alguns redirecionamentos ou não. Como isso funciona depende essencialmente de sua preferência pessoal e de como você deseja que seu usuário flua por meio de seu aplicativo para operar.

Você não precisa de um subdomínio para isso, basta redirecionar para o link "para registro / login. Você pode ter o mesmo domínio para HTTP e HTTPS sem problemas.

E sim, se você manuseia senhas, deve usar SSL. Você também precisará de um certificado válido para seu domínio.

Os certificados SSL são muito importantes para criptografar a comunicação entre o servidor e o cliente para evitar ataques de interceptação, onde eles poderiam ler ou interferir nas comunicações. Isso também ajuda a criar confiança entre o usuário final e o site que eles estão usando, muitos usuários agora estão familiarizados com certificados SSL aprimorados que transformarão a barra de endereço (ou parte dela) em uma cor verde. Esses certificados SSL avançados geralmente exigem verificações adicionais pelas autoridades de certificação (CA) antes de concederem o certificado. No entanto, estes são muito caros e recentemente recebi um certificado SSL Geotrust com boa criptografia por apenas 67 libras esterlinas (cerca de 100 dólares no momento da redação).

Não se esqueça de que os usuários geralmente reutilizam seus endereços de e-mail e senhas em vários sites e, embora seu site não contenha informações confidenciais sem um certificado SSL, você estará colocando seus usuários em risco se você não usar a criptografia SSL como um invasor pode comprometer JoeBlogs e fazer login no gmail / paypal / whatever. Se você literalmente não tem dinheiro para um certificado SSL emitido por uma autoridade, então você pode autoassinar um certificado, isso irá gerar um aviso para seus usuários, mas pelo menos se eles concordarem que a comunicação será criptografada!

Sobre a questão de apenas criptografar algumas partes do site, é preciso ter cuidado ... Recentemente, eu garantai que um dos meus sites fosse dedicado ao SSL, incluindo a transmissão de cookies por SSL. Caso contrário, é tecnicamente possível que um invasor assuma uma sessão de usuário quando estiver usando a parte HTTP do site.

SSL é barato.
Processos judiciais podem custar-lhe milhões.
Existe uma escolha fácil.

Apenas torne o site inteiro seguro, e não se incomode com o material secure.xxx, não há realmente muito ponto de vista técnico, a menos que isso seja explicitamente tratado por um servidor diferente.

Sério, você pode pegar um certificado SSL adequado por $ 12 de vários revendedores de rapidssl. Você não está apenas protegendo os detalhes de nome de usuário / login, mas também qualquer informação de sessão HTTP armazenada em um cookie, porque as transações de cookies também serão criptografadas por SSL.