¿Necesito SSL para un sitio al que solo se puede acceder en la red local?
Todos los usuarios inician sesión con las credenciales de Windows usando Windows Auth con PHP en IIS.
Y si no lo hago: la seguridad necesaria para garantizar que no haya problemas.
Y si lo hago: ¿por qué?
Respuesta corta : si puedes usarla, ¡úsala!
Es una buena práctica tener SSL incluso en sitios locales. No hay tal cosa como 'SOLAMENTE' red local. Supongo que usa la palabra 'solo' para indicar que solo las personas dentro de su red pueden acceder a ella. Esto es un resultado del hecho de que las personas no consideran amenazas internas.
Pero digamos que solo tienes páginas estáticas, que contienen páginas de información. En ese caso SSL no merece la pena.
Pero cuando se trata de aplicaciones web, con información confidencial, es imprescindible utilizar SSL, incluso dentro de su propia red.
EDIT : Definitivamente UTILICE. (basado en su edición). La misma razón que la anterior. Los atacantes internos pueden detectar el tráfico y, posiblemente, falsificar a otro usuario.
Si su red interna está separada del exterior y todas las personas que pueden acceder físicamente a los cables son confiables (y usted confía en ellos), entonces puede salirse con la suya sin hacer SSL.
Si tiene WiFi, la condición anterior no es verdadera. Si una de las personas de confianza a veces se conecta un dispositivo propio, entonces la condición anterior no es cierta. Si tiene PLC , la condición anterior no es verdadera. Si el personal de limpieza (o un caballero de limpieza) limpia la oficina por la noche, entonces la condición anterior no es cierta. Si un cartero o repartidor entra ocasionalmente en las instalaciones sin ser supervisado en todo momento, la condición anterior no es verdadera.
Por lo tanto, necesitas SSL .
Lea otras preguntas en las etiquetas web-application tls