¿Hay algún beneficio al tener conexiones SSL en localhost?

3

Tengo un servidor de correo con un servidor de base de datos MySQL. El servidor de correo y la base de datos MySQL se instalan en la misma máquina Windows. ¿Hay algún beneficio al usar conexiones SSL entre las dos aplicaciones en localhost?

Creo que la conexión está usando TCP y no sockets locales.

Basado en esta pregunta sobre SSL en un confiable LAN , no creo que haya ningún beneficio para las conexiones locales. Parece que un atacante tendría que estar en la máquina para leer el tráfico, y si los atacantes pueden ingresar a nuestra máquina, probablemente puedan obtener lo que quieran. Pero esta configuración ya estaba usando SSL cuando me uní al equipo. Realicé una actualización de MySQL y ahora tengo problemas con la conexión SSL. Me pregunto si sería correcto convencer al equipo de que no necesitamos SSL en localhost de todos modos.

    
pregunta Bad Tea 17.01.2014 - 20:53
fuente

2 respuestas

4

Si no tiene otros usuarios en esta máquina, puede que tenga razón. Si tiene otras cuentas con la capacidad de conectarse desde el control remoto, podrían verse comprometidas. Si el atacante es capaz de poseer completamente la máquina, de todos modos, se te rompe. Pero incluso si el atacante no puede obtener la raíz, puede hacer que mysqld se bloquee y luego se haga cargo del puerto (el puerto predeterminado es 3306, que no necesita permisos especiales). De esta manera, el uso de SSL podría ayudar un poco, ya que la identidad del servidor (hackers) no se puede verificar.

Por lo tanto, no ayuda mucho, podría ayudar un poco.

    
respondido por el Steffen Ullrich 17.01.2014 - 22:43
fuente
0

SSL tiene 2 funciones:

  1. Para evitar que la secuencia de datos sea descodificada por un atacante que escucha en la red; y
  2. Para asegurarle al cliente que se está conectando al servidor auténtico, y no a un intermediario.

La primera función no es necesaria en localhost, porque para escuchar la transmisión, el atacante ya debería haber ingresado en tu sistema. Esto es cierto en Windows así como en otros sistemas operativos.

La segunda función es posible solo si el cliente se conecta al servidor por su nombre de dominio completo, porque cualquiera (o nadie) puede obtener un certificado para "localhost".

    
respondido por el Steven Schoch 29.04.2016 - 00:15
fuente

Lea otras preguntas en las etiquetas