desarrollo de sitio web con ssl https

Hola gente.. necesito desarrollar un sitio en ssl, y nunca lo hice,... al empezar me entro la duda..

uso https (SSl) para todo el sitio ? o solo para el panel de usuario y cuando inicien sesion (ya que lei por ahi que usar https relentiza un poco la carga de la pagina)...

y la otra duda :

en el caso que lo divida asi: panel usuario y login en Https y por otro lado el sitio http...

cuando trate las sesiones de usuario en el sitio (Http) tengo que codificarlas en md5 y enviarlas codificadas con javascript al servidor... o no es necesario ? ya alcanza con hacer el login en https ?

espero alguien sepa del tema.. no hay mucho por ahi jejeje

abrazo !

algun moderador que cambie de seccion mi tema.. me parece que no lo publique en el correcto... gracias !

SoftMaster:

Esta explicación está en inglés pero creo es fácil de comprender

http://stackoverflow.com/questions/4...o-https-in-php


Espero la ayuda te sirva

Saludos

Hola emprear... en parte me sirve gracias.. el tema es que mi duda es mas de seguridad, con respecto a las sesiones... pero la verdad no me quedo muy claro, soy malisimo en ingles jajajaja...

mi duda en resumen es si con dejar el login de usuarios y el panel de usuarios en https ya es seguro... o tambien debo encriptar esos datos en http ?

Supongo que será igual de seguro como lo otro, el unico punto es que efectivamente si pasas de http a https las sesiones se pierden y en el artículo se explica como pasar de una a la otra.

lo más importante es que los dos servidores, tienen que estar en la misma máquina física. al menos asi dice el artículo

Saludos

Gracias emprear ! seguire leyendo...

Hola gente.. necesito desarrollar un sitio en ssl, y nunca lo hice,... al empezar me entro la duda..

uso https (SSl) para todo el sitio ? o solo para el panel de usuario y cuando inicien sesion (ya que lei por ahi que usar https relentiza un poco la carga de la pagina)...

y la otra duda :

en el caso que lo divida asi: panel usuario y login en Https y por otro lado el sitio en http...

cuando trate las sesiones de usuario en el sitio (Http) tengo que codificarlas en md5 y enviarlas codificadas con javascript al servidor... o no es necesario ? ya alcanza con hacer el login en https ?

espero alguien sepa del tema.. no hay mucho por ahi jejeje

abrazo !

creo que lo mas sencillo es poner todo en HTTPS, por un lado te ahorras programacion y por otro aseguras toda la navegacion de golpe. PPuedes echarle un vistazo a https://www.ssldirecto.com

Salu2

Hola.

hace poco yo tambien estaba trabajando con https y la recomendacion que yo te daria es que en la secciones en las que manejes informacion confidencial ( generalmente ) manejes por https, con lo que yo hice no experimente ningun tipo de sobre carga, todo seguia igual y con respecto a si envias las sesiones con md5 no seria necesario, puesto que eso es lo que hace el protocolo al enviar los datos por ssl, ya los envia encriptados, tanto del servidor al cliente como del cliente al servidor.

Cualquier duda que tengas sobre la configuracion en lo que te pueda ayudar, no dudes en preguntar .

si blekia.. yo creo que tambien.. es mas sencillo.. y ya que pillo un certificado.. lo lo expirmo jejeje... pero bueno tenia entendido que relentiza un poco la navegacion..

abrazo

lair.. y en las partes del sitio que dejo en http... las sesiones las tengo que tratar de alguna manera especial encryptandolas ? o no es necesario... ya con manejar la informacion confidencial en https alcanza... ya que las sesiones las enviaria para http...

no tendrás problemas con las sesiones, el uso de SSL solo encripta la comunicación entre el server y el cliente, así que tendrás la misma cookie .

lo ideal es usarlo en logins, backends, panel de control y demás partes que requieran seguridad, sí vuelve lenta la carga de las páginas debido a que utiliza algoritmos asíncronos de gran complejidad.

otro punto de SSL es que no es compatible con la virtualización de host por nombres, así que no podrás usar esta característica en local.

Hola maycolalvarez... entonces para terminar de entender esto jeje...

uso logins, backends, panel de control y demás partes que requieran seguridad en https y en http el resto del sitio...

mi duda con respecto a las sesiones era que estoy haciendo una tienda online... y aunque para temas de confidencialidad lo mande al usuario en el login y panel en https...

en el resto del sitio http estan los productos... y ahi voy a manejar agregar productos al carrito (que insertarian datos en la base de datos) y por supuesto la sesion del usuario... en esta parte, seria mejor encriptar los datos y sesiones... o no hace falta ? ya con hacer el login y panel en https alcanza...

perdon que reitere pero no termino de entender.. como es el tema...

gracias por las respuestas !

mmm, cuando usas SSL (https) en ese instante en que envías el formulario hacia el server, el navegador encripta la petición http que el servidor recibe para luego desencriptarla, todo es automático, no tienes que hacer nada, los datos de sesión se almacenan en el servidor, lo único que utiliza php session es una cookie en el cliente para guardar el id.

en teoría si tienes un login en https es seguro, porque es muy difícil (pero no imposible) descifrar la contraseña, luego ya el usuario esta logeado y no hace falta tanto ssl, pero en el momento que pidas datos como el numero de tarjeta, es recomendable usar SSL.

pero SSL no te resolverá todo, ya que si tu sistema tiene debilidades de XSS, un malintencionado puede robarle el id se sesión a tu usuario y ya te imaginarás que puede hacerle, también es de suma importancia velar por implementar debidamente los tokens CSRF e inyecciones SQL. ahora el panorama se vuelve un poco negro no???, mucha suerte

si bueno.. jajaja, que se le va a hacer... hay que hacerlo ! igualmente no hay que asustarse... hay que hacer las cosa bien de una... para ahorrar futuros dolores de cabeza... por que eso.. mis preguntas !!

gracias a todos.. vere que sale de todo esto...
abrazo

Tema movido desde PHP a Web general

yo creo que ahi dependeria de la informacion que vallas almacenar en las sesiones, todo eso realmente queda a criterio tuyo. no es que existan reglas para aplicar o no el protocolo seguro o encriptar ciertos datos, generalmente es conforme lo requieras y consideres.

como bien dice maycolalvarez toda operación que requiere de cifrado necesita de un tiempo de ejecución, sin embargo para el usuario es imperceptible.

Si lo que quieres es asegurar la máxima confidencialidad utiliza un certificado VeriSign, aunque son los más caros. Los certificados EV (con barra verde) también dan un extra de confidencialidad al usuario pero ten en cuenta que si no eres empresa tendrás problemas para conseguirlos.

Salu2