如何使用 https 保護網站

我必須為公司建構一個小型 webapp 來維護他們的業務數據……只有公司內部的人會使用它，但我們計劃將它託管在公共域中，以便員工可以從不同位置連接到應用程序. （到目前為止，我已經建構了僅在內部託管的 Web 應用程序）

我想知道我是否需要使用安全連接（https）或者只是表單身份驗證就足夠了。

如果你說 https，我有一些問題：

1. 我應該怎麼做才能為 https 準備我的網站。（我是否需要更改程式碼/配置）
2. SSL 和 https 是一回事嗎…
3. 我是否需要向某人申請才能獲得一些許可證或其他東西。
4. 我需要使所有頁面安全還是僅登錄頁面…

我正在網際網路上搜尋答案，但我無法獲得所有這些要點……任何白皮書或其他參考資料也會有所幫助……

如果您需要更多資訊，請隨時詢問。

謝謝

• 國王

我應該怎麼做才能為 https 準備我的網站。（我是否需要更改程式碼/配置）

您應該牢記安全編碼的最佳實踐（這裡有一個很好的介紹：http ://www.owasp.org/index.php/Secure_Coding_Principles ），否則您只需要正確設置 SSL 證書。

SSL 和 https 是一回事嗎？

差不多，是的。

我是否需要向某人申請才能獲得一些許可證或其他東西。

您可以從證書頒發機構購買 SSL 證書或使用自簽名證書。您可以購買的價格差異很大 - 從每年 10 美元到數百美元不等。例如，如果您開設線上商店，您將需要其中之一。自簽名證書是內部應用程序的可行選項。您也可以使用其中之一進行開發。這是一個關於如何為 IIS 設置自簽名證書的好教程：使用自簽名證書在 IIS 7.0 上啟用 SSL

我需要保護所有頁面還是只保護登錄頁面..

對所有內容都使用 HTTPS，而不僅僅是初始使用者登錄。這不會造成太大的成本，這意味著如果使用者從您的遠端託管應用程序發送/接收的數據被攔截，外部各方將無法讀取這些數據。甚至 Gmail 現在也預設開啟 HTTPS。

引用自：https://stackoverflow.com/questions/2205325