¿Debo instalar un certificado SSL para un sitio web que utiliza una pasarela de pago de terceros?

Voy a interpretar estas preguntas como "¿se debe habilitar SSL en el servidor web de este cliente o no?" Independientemente de la información de la tarjeta de crédito, seguirá recabando datos personales de los clientes del cliente y, por lo tanto, SSL debería estar habilitado. Además de proteger la marca y proporcionar un sitio seguro para comprar:

• Ayudará a proteger al cliente de la responsabilidad
• Es posible que las leyes o regulaciones lo exijan según el lugar donde se aloje el sitio o los clientes a los que atiende.
• Es más fácil y económico prevenir las violaciones de datos que limpiarlas más tarde

Una forma de ver el problema es la siguiente: ¿por qué no desea utilizar SSL? La sobrecarga es leve, y el precio del certificado es intrascendente para una empresa. Tal vez, en lugar de buscar razones para usar SSL, deberíamos aplicarlo a menos que haya una razón conocida y explícita por la que no deberíamos hacerlo.

De todos modos, para su situación específica y con el punto de vista del atacante: un sitio web no SSL es "seguro" siempre que el portal de pago protegido incluya una descripción explícita de lo que el cliente está comprando. El cliente debe ver , a través de la página web de SSL, una descripción inequívoca de lo que está pagando. Una simple referencia de contrato opaca no es suficiente, porque el cliente realmente no puede saber, entonces, lo que vio en una página web sin SSL es realmente lo que el servidor envió desde el otro lado.

En general, los atacantes activos pueden propagar un caos considerable en un sitio web desprotegido: desfiguración, descarga automática de malware en las computadoras de los clientes confiados, ... pero este vandalismo crudo a menudo se detecta como tal. Una acción mucho más dañina sería solo insertar alteraciones sutiles en el funcionamiento del sitio web. Si el cliente compra un paquete y descubre solo al desembarcar en una remota isla soleada que, a diferencia de lo que él pensaba, su paquete no incluía la reserva del hotel, entonces se enfadará; y un atacante sutil puede hacer que esa situación desafortunada ocurra al alterar los contenidos que no son SSL del sitio web. Si quisiera aplastar completamente el negocio del sitio web de venta de vacaciones de su cliente, lo haría de esa manera.

La mayoría de los sitios web evitan los ataques por pura misa: simplemente no hay suficientes atacantes en todo el mundo para realmente destruir todos los sitios vulnerables. Es una protección contra la seguridad bastante eficaz, pero de naturaleza heurística. El uso de SSL en todo el sitio no es una forma costosa de disminuir la dependencia de la suerte.

Si va a utilizar http para que sus clientes se conecten con usted, no hay forma de determinar que los datos que se envían de un lado a otro son realmente de quienes usted cree que son.

Especialmente desde el punto de vista de un cliente, los datos que se envían al sitio web desde su navegador deben estar intactos y no deben estar disponibles para nadie más en la misma red.

MITM & el secuestro de sesión es mucho más fácil cuando usas http. [Aunque no pueden tocar la información bancaria, ¿qué pasa con la información relacionada con el paquete de vacaciones y, lo que es más importante, con la información personal del usuario que llenarán en su sitio web? (No queremos que se modifique en el camino ni que esté disponible para nadie en la la red ahora hacemos.)]

Si fuera un cliente, me sentiría cómodo si veo el signo del candado en la barra de URL cuando visito un sitio web que me llevará a una transacción monetaria.