Сертификат SSL. Для каких страниц?

На каких страницах нужно использовать SSL-сертификат для интернет-магазина? Этот сайт доступен только для зарегистрированных пользователей, и оплата производится с использованием стороннего поставщика. Я полагаю: логин, регистрация, смена пароля.

Любая другая рекомендация?

Используйте SSL, на основе которого страницы отправляют или получают конфиденциальную информацию. На страницах «О нас» или «Продукты и услуги» не нужно использовать SSL. Указанные вами страницы (вход, регистрация, смена пароля).

Просто сделайте все страницы SSL зашифрованными.

Вероятно, у вас есть файл cookie сеанса, и вы никогда не хотите, чтобы его отправляли по незашифрованному соединению. Кроме того, нет веских причин не использовать SSL на каждой странице.

Кроме того, выглядит странно, если значок «SSL» в адресной строке появляется и исчезает на нескольких страницах изменений.

Важно, чтобы вы использовали SSL для всех страниц. SSL не только защищает от подслушивания, но также гарантирует, что содержимое не может быть изменено по кабелю. Человек в середине может изменить все, что захочет, если вы не используете SSL. Представьте себе следующий сценарий:

  • Страница A (no ssl): Довольно неинтересный сайт без секретного контента. Ссылки на страницу входа в систему (стр. B).
  • Страница B (ssl): ваша страница входа.

Пользователь запрашивает страницу A. Человек в средней атаке может изменить ссылку на странице А так, чтобы она указывала на сервер, который он контролирует, проводя предварительную фишинг-атаку. Ваш пользователь доверяет и следует за манипулируемой ссылкой, потому что он, похоже, исходит из страницы A. Без SSL ваш пользователь не может сказать, что на выходе сервера было изменено. С SSL на обеих страницах такая атака будет невозможна, если ваши пользователи заботятся о предупреждениях браузера (что, к сожалению, почти никто не делает).