Security 共享SSL-比使用OpenID更好还是更差？

我正在从事一个需要用户登录/注册的项目。我希望避免设置私有SSL，因为我使用的是共享托管提供商，并且希望从同一计划托管多个域（但由于私有SSL证书需要专用ip，我每个计划只能有一个证书…但仍希望保护我的所有站点）

我在两人之间争论

求助于OpenID（尽管对于非技术性受众，我发现的所有抱怨都会成倍增加）

使用我的主机的共享SSL（这将在浏览器中弹出那些恼人的证书警告，指出站点不匹配）

---

什么是更好的选择？或者你会建议放弃这两种方式，只是建议接受它并购买更多/更好的托管计划吗？

为什么不从头开始呢？如果可以从每个域访问数据库，则可以保留每个域都可以访问的一个用户存储

---

您不想创建自己的用户模型有什么特殊原因吗？这很容易做到，但你可能有其他因素使你倾向于像OpenId这样的东西，我不知道。

根据我处理SO的经验以及使用Google App Engine（及其认证系统）的一个相当简单的网站，我给出以下建议：

• 不要使用OpenID进行标识。它可以通过您自己的身份管理进行身份验证，但一旦您尝试识别特定用户，就会出现问题
• 令人惊讶的是，人们将拥有多少开放ID，所以要准备好支持多个OpenID身份验证URL（肯定超过1个，可能超过2个）
• 如果需要高安全性，请非常小心OpenID。许多人会使用通常仅用于低安全性任务的提供程序（因此密码较弱）。杰夫·阿特伍德（Jeff Atwood）直接受到了这一特殊问题的打击（他的帐户正是由于这个错误而被盗）
• 为您的用户保持简单。如果您使用OpenID，请强调一个或两个他们可能已经拥有的提供者（例如Google），然后为通用提供者提供一个不太强调的选择。不要让头脑简单的用户想到OpenID
• 除此之外，一个简单的“用你的谷歌账户登录”按钮工作得出奇的好。我原以为人们会发现用他们的谷歌账号登录第三方网站会让人感到困惑，但实际上，这在我们的.appspot.com域名中并不是一个问题

底线是，你不应该期望你的用户喜欢openid，但这是一个可以接受的折衷方案。我认为对于许多最终用户来说，显示无效证书不是一个合理的选择

---

当然，单独的证书选项是最干净的，但是你必须决定这是否真的值得。我是个吝啬鬼，我自己也会尽量避免

如果使用共享SSL的URL，则不应获得弹出窗口。这就是共享SSL的全部要点。当用户跳转到安全连接时，您需要的是站点URL的标识

当涉及到私有SSL时，我会和你的主机提供商谈谈你的选择。它们真的没有那么贵（即使你对可怜的IE支持还行，也可以免费）。我曾经与共享提供商合作过，他们会为您分配一个专用的IP用于SSL，只需支付很少的额外费用（比如2美元/月）

---

对我来说，每年额外的54美元（证书30美元+IP 24美元）是值得我和我的用户安心的。

hmm。只是因为我没有想到要这么做。我能想到的唯一缺点是，如果我决定将每个站点迁移到单独的主机上，以后可能会造成困难。谢谢你的洞察力！考虑到你写的更多，我意识到我不确定你的确切意思…每个证书都与某个域相关联..那么我如何使用与某个域相关联的单个证书来加密多个其他域上的通信？对，但我的主要问题是，我有多个站点托管在同一个域下计划…就这样，我清楚地被告知我只能有一个私有SSL…为什么你说我不会得到带有共享SSL的弹出窗口？“我的主机”将“共享ssl”定义为拥有托管提供商（而不是我的站点）的域，因此如果您实际链接到域而不是托管提供商，浏览器应警告域不匹配。例如，如果您的共享SSL位于shared-SSL.myhost.com/mysite/login下，如果您尝试通过获取他们的帐户，您将获得弹出窗口，但如果您链接到并让登录页面将他们踢回非SSL域，则不会弹出窗口。这通常是大多数托管提供商执行共享SSL的方式。还有，他们有没有说他们不能给你多个IP，每个站点一个？如果不是，嗯。。。也许是时候改变供应商了……你不能在上面的帖子中看到它，但是那些链接是用HTTPS冒号斜杠前缀的。我确实考虑过用“你的谷歌帐户登录”选项，但是还没有花时间估计我的目标受众中有多少百分比已经有了谷歌（或雅虎）的账号。…当然，我也遇到了一个问题，谷歌默认情况下不启用openID…如果这对有技术倾向的人来说很烦人，我无法想象它会给计算机文盲用户带来多大的痛苦…这就是为什么我认为我会像以前一样避免使用OpenId的原因plague@es111-我想你可能把谷歌和其他人搞混了。据我所知，谷歌目前并不要求您启用OpenID，以使其与普通的谷歌帐户一起工作（如果您使用他们的博客OpenID提供商，它确实需要启用OpenID）。