[解決済み] httpsで安全なウェブサイトの作り方

質問

私はある会社のために、ビジネスデータを維持するための小さなウェブアプリを構築しなければなりません... 社内の人間だけがそれを使用することになりますが、従業員がさまざまな場所からアプリに接続できるように、パブリック ドメインでそれをホストすることを計画しています。(これまで私は、内部でのみホストされるWebアプリケーションを構築してきました。）

セキュリティで保護された接続 (https) を使用する必要があるのか、それともフォーム認証だけで十分なのか、疑問に思っています。

httpsということであれば、いくつか質問があるのですが．

1. 私のウェブサイトをhttpsにするために何を準備すればよいですか。 (コード/設定を変更する必要がありますか？）
2. SSL と https は同じものですか？
3. ライセンス取得のために、誰かに申請する必要があるのでしょうか。
4. すべてのページをセキュアにする必要があるのか、それともログインページだけなのか......。

インターネットで検索していたのですが、これらすべてのポイントを得ることができませんでした...。ホワイトペーパーやその他の参考資料もあれば助かります...。

もっと情報が必要な場合は、お気軽にお尋ねください。

ありがとうございます。

• ラジャ

どのように解決するのですか？

自分のウェブサイトをhttpsにするためにはどうしたらよいでしょうか。 をhttpsにするためにはどうすればよいのでしょうか？ コード/設定を変更する必要がありますか?）

セキュアコーディングのベストプラクティスを念頭に置くべきです（ここに良いイントロがあります。 http://www.owasp.org/index.php/Secure_Coding_Principles をご覧ください）、そうでなければ、必要なのは正しく設定されたSSL証明書だけです。

SSLとhttpsは同じものですか？

かなり、そうです。

ライセンスを取得するために、誰かと一緒に申請する必要がありますか？ ライセンスか何かを取得する必要がありますか。

SSL証明書は、認証局から購入するか、自己署名証明書を使用することができます。購入できるものは、年間10ドルから数百ドルまで、価格が大きく異なります。例えば、オンラインショップを立ち上げる場合、これらの証明書が必要になります。自己署名証明書は、内部アプリケーションのための有効なオプションです。また、開発用にも利用できます。IISの自己署名証明書を設定する方法については、こちらのチュートリアルを参照してください。 自己署名証明書を使用して IIS 7.0 で SSL を有効にする

すべてのページをセキュアにする必要があるのでしょうか？ それともログインページだけですか？

最初のユーザーログインだけでなく、すべてに HTTPS を使用します。これは、ユーザーがリモートでホストされているアプリケーションから送受信するデータが傍受された場合、外部の第三者に読まれないことを意味し、それほど大きなオーバーヘッドにはなりません。Gmail でさえ、現在ではデフォルトで HTTPS をオンにしています。