Necesito explicar por qué tener un certificado SSL es una buena inversión para un comercio electrónico. ¿Cómo hago esto cuando la otra persona es un propietario de un negocio inteligente pero no tan inteligente como la tecnología?
Necesito explicar por qué tener un certificado SSL es una buena inversión para un comercio electrónico. ¿Cómo hago esto cuando la otra persona es un propietario de un negocio inteligente pero no tan inteligente como la tecnología?
Hay un par de ángulos:
No tienen ningún interés técnico en absoluto, el primer aspecto es que, por lo que sé, la tarjeta de crédito la industria requiere el cifrado de la transmisión (y varias otras cosas) . Desde un punto de vista regulatorio, esto debería ser suficiente para impulsar el uso de HTTPS.
Para aquellos dos que quieran saber un poco más, primero explique que el tráfico HTTP simple ocurre de forma clara.
Luego, si desea ejecutar una demostración, puede simular un ataque MITM, pero también puede demostrar una escucha pasiva más fácilmente: conecte una máquina que ejecuta Wireshark en el mismo enrutador 1 como su máquina y mostrarles lo que están buscando. Por supuesto, solo haga esto si ha obtenido el permiso de quien esté conectado a esa red; Asegúrese de que lo que hace es legal primero en su jurisdicción. Luego, explique que cualquier persona con acceso a la red entre su máquina y el servidor podría hacer esto. Para el usuario no técnico, esto demuestra al menos la necesidad de cifrado.
Los certificados en SSL / TLS se utilizan realmente para la autenticación, que protege contra ataques MITM (activos). Dependiendo de la atención que sus usuarios estén dispuestos a prestar a esta demostración, pueden o no necesitar / querer ver un ataque MITM de la misma manera (puede probar sslstrip u otros kits, aunque no necesariamente demuestra el mismo aspecto).
Si entienden la necesidad de cifrado, comprenderán la necesidad de SSL / TLS (HTTPS) en un sitio web. Afortunadamente, los navegadores implementan la verificación de certificados de todos modos cuando se usa HTTPS, protegiéndolo de las escuchas pasivas y los ataques MITM activos. Esto hace que el uso de un certificado sea necesario 2 (no estoy seguro de si su pregunta es específicamente en el aspecto certificado , o más generalmente acerca de tener que usar HTTPS).
Los usuarios nunca deben ser obligados a ignorar las advertencias del navegador. Esto también significa que necesitarán un certificado reconocido por la mayoría de los navegadores de forma predeterminada (es por esto que un sitio web de comercio electrónico no debe usar un certificado autofirmado). Las PKI y las CA tienen sus defectos, pero en general son un compromiso razonable para la mayoría de los usuarios.
Luego, si desea obtener un certificado EV o no , es su decisión. Los CA ciertamente tienen un gran interés en promoverlos. No estoy seguro de si esto funciona, pero su comercialización está bien hecha y debería funcionar para alguien que usa sus folletos como punto de partida sin querer saber demasiado.
Además de todo esto, un sitio web de comercio electrónico debe implementarse correctamente: no hay contenido mixto en particular. Las cookies seguras también son buenas. Utilice HTTP Strict Transport Security si puede.
1. Utilizo ese término libremente aquí, suponiendo un enrutador doméstico, que también actúa como un concentrador / conmutador.
2. No estoy seguro de que ningún navegador admita cifrados o certificados nulos que no sean X.509 de todos modos. Ciertamente no con la configuración predeterminada
Utilice SET (Kit de herramientas de ingeniería social) de Backtrack para clonar la página principal del banco en el que el empresario tiene cuenta. Configúrelo en un servidor Apache en el puerto 80.
Realice un ataque de DNS o MITM (ARP) y dígale al propietario de la empresa que inicie sesión en su cuenta bancaria.
Mientras tanto, active tcpdump -X -s0 y muéstrele su nombre de usuario y contraseña.
Dígale que esto sería mucho más difícil si la conexión estuviera encriptada :)
Sus clientes se sentirán más seguros cuando hagan compras utilizando una conexión SSL. Incluso si sus clientes no entienden qué es SSL, pueden ver visualmente la conexión segura. La conexión segura puede parecer una cerradura o algo verde. ¿Verde es bueno?
La mayor ventaja real es que es más difícil realizar MITM porque necesitan quitar la capa SSL para hacerlo. Las redes públicas no podrán simplemente ver sus datos de texto sin cifrar. Sin embargo, los clientes probablemente realizarán compras a través de una red pública.
Un certificado SSL es un requisito de conformidad . No tener uno es una responsabilidad . Además, los certificados SSL son gratis .
Si le dices eso y él no obtiene un certificado SSL de inmediato, entonces realmente no debería tratar de hacer comercio electrónico.
En primer lugar, un sitio habilitado para HTTPS, que requiere un certificado SSL, es completamente requerido para el cumplimiento de PCI, que a su vez es un requisito exigido por las compañías de tarjetas de crédito y los administradores para aceptar pagos con tarjeta de crédito en el sitio. Entonces, si desea que sus usuarios le paguen a través del sitio web utilizando algo que usted controla (y no solo la integración de PayPal), está obteniendo un certificado SSL.
Segundo, un certificado X.509 firmado por una CA y el transporte HTTPS para todo el sitio, no solo las secciones de pago, reducirá la tasa de rebote al informar a los usuarios que están en el lugar correcto. La mayoría de los navegadores agregarán un toque especial a la barra de direcciones cuando se revise el certificado SSL de un sitio; Chrome convierte el texto HTTPS: // en verde y le proporciona un bloqueo verde, mientras que IE muestra un bloqueo dorado con los otros iconos.
Tercero, si va más allá y obtiene un certificado EV-SSL (que requiere una prueba de identidad rigurosa no solo para el servidor y el dominio, sino también para la empresa que recibe el certificado), entonces la barra de navegación de los usuarios se vuelve verde, identificando su sitio, y usted como compañía, teniendo el nivel más alto de prueba de identidad de VeriSign. Eso reducirá aún más la tasa de rebote ya que sus usuarios estarán muy seguros de su sitio.
Tenga en cuenta que un certificado SSL es solo la mitad de la ecuación; su sitio también debe proporcionar el 100% del contenido mostrado de cada página a través de ese canal HTTPS. Por lo general, eso significa que su sitio debe alojar o hacer proxy de todo el contenido que se muestra, incluidos los banners publicitarios de terceros, los controles de las redes sociales, etc.
Los certificados SSL para un sitio web ayudan a los usuarios a saber que se encuentran en un sitio web confiable y genuino que no robará ninguna información importante .SSL para el sitio web de comercio electrónico porque en el momento del pago todos buscan una conexión segura. que la información privada y más importante, como el número de tarjeta de crédito o CVV, no sea robada ilegalmente, por lo que ssl confirma que el sitio web está tomando sus medidas de seguridad para mantener la seguridad de los datos privados. Además, ayuda a cifrar el tráfico para mantener segura la transmisión de datos .
Los certificados SSL están diseñados para hacer dos cosas:
1) Proporcione verificación al usuario final de que el sitio que está visitando es legítimo (y el sitio es quien dice ser). Debido al proceso de verificación que está involucrado en la obtención del certificado.
2) Proporcione la clave pública necesaria para cifrar el tráfico entre el navegador web de los usuarios y el servidor.
Por supuesto, ambos elementos pueden ser burlados. Pero tener un certificado instalado es mucho mejor que no tener uno. Especialmente para un sitio de comercio electrónico.
EDITAR: aclaración del punto 2, sugerida por bruno
Lea otras preguntas en las etiquetas tls