¿Por qué no se debe usar SSL? [duplicar]

22

Veo muchas publicaciones en toda la web que me preguntan si deberían usar SSL para proteger su sitio web o si es realmente necesario hacerlo cuando el contenido de su sitio no contiene o solicita datos confidenciales. / p>

Supongamos que el problema no es el costo del certificado, teniendo en cuenta que no es extremadamente caro obtener un certificado SSL. ¿Por qué querría incluso alojar una página que no está protegida con SSL? La mayoría de los servidores web son compatibles con SSL, y generalmente es muy sencillo configurarlo (especialmente con IIS).

    
pregunta Robert Petz 24.03.2014 - 23:04
fuente

5 respuestas

37

Hay varias razones para no usar SSL, ninguna de las cuales es una razón buena en sí misma, pero en conjunto pueden explicar muchas cosas.

La razón principal para no usar SSL es un efecto de la fuerza más fuerte en el Universo, es decir, la pereza. Sin embargo, la configuración sencilla de SSL es, no configurarlo será aún más fácil. Esto solo explica por qué tantos sitios siguen usando solo HTTP, no HTTPS. Un gran número de sitios pueden salirse con la suya, y no ser atacados, porque no hay suficientes atacantes para atacar a todos los sitios, por un largo plano (y los atacantes no son menos perezosos que todos los demás).

Entre otras razones, uno puede citar lo siguiente:

  • El alojamiento de varios sitios web HTTPS con nombres distintos en la misma dirección IP ha sido difícil durante mucho tiempo, especialmente cuando los distintos sitios no se conocen entre sí (o el servidor utiliza un certificado con todos los nombres, pero esto puede dar lugar a asociaciones aparentes y desafortunadas, o el servidor se basa en SNI , que no funciona con Internet Explorer en WinXP).

  • SSL evita algunos tipos de almacenamiento en caché, en particular el proxy transparente que a algunos ISP les gusta mucho. Esto implica requisitos adicionales de ancho de banda para el servidor (los datos duros en el aumento son difíciles de conseguir, y dependen del tipo de sitio; por ejemplo, una interfaz de correo web como Gmail probablemente no se beneficiará de un gran almacenamiento en caché, al contrario de un sitio de imágenes pesadas).

  • En (muchos) días anteriores, los sitios web HTTPS no fueron indexados tan exhaustivamente como los sitios no SSL, lo que resulta en una idea generalizada de que obtiene una mejor indexación mediante el rechazo de SSL (ese ha estado equivocado durante bastante tiempo) ahora, pero las ideas antiguas son difíciles de erradicar).

  • Algunas personas aún tienen la sensación de que SSL implica un alto costo computacional (ese tampoco es correcto, pero sigue siendo común).

  • Como un giro irónico, algunas personas temen que el uso de SSL proyecte la impresión de que sí les importa la seguridad, lo que aumenta la reacción de reputación si (cuando) son hackeados. La idea es que si nunca reclamas o dejas que crea que alguna vez prestaste atención al concepto de seguridad, tal vez las personas serán más indulgentes cuando descubran cuánto lo ignoras.

respondido por el Thomas Pornin 24.03.2014 - 23:58
fuente
9

Además de lo que Thomas dijo, razones prácticas directas:

  • para servicios más pequeños, alojamiento barato que no le brinda acceso directo para configurar su servidor con certificados (o incluso proporciona la dirección IP única que necesitaría para hacer SSL hasta el día en que realmente podamos confiar SNI)

  • debe incluir contenido de terceros (iframes, scripts, etc.) que no está disponible a través de HTTPS, sin desencadenar advertencias de navegador feos.

respondido por el bobince 25.03.2014 - 00:09
fuente
3

¿Por qué no se debe usar SSL?

No creo que sea una pregunta correcta.

¿Cuándo y bajo qué condiciones saldrías sin utilizar SSL sería mejor?

  • cuando tienes una página estática sin acceso privilegiado que requiere páginas o ningún tipo de autenticación web.

Aparte de eso, sería bueno tener SSL a bordo.

Alojar varios certificados SSL en una sola dirección IP con SNI no es difícil, aunque un poco costoso.

    
respondido por el thephoenix 25.03.2014 - 01:02
fuente
2

Si monetiza su sitio web con google adsense, puede ganar menos dinero en las páginas https.

Google elimina

  

anuncios no compatibles con SSL de la subasta, lo que reduce la subasta   presión, por lo que los anuncios en sus páginas HTTPS podrían ganar menos que los de su página   Páginas HTTP.

enlace

    
respondido por el TryHarder 25.03.2014 - 13:58
fuente
1

Los argumentos en contra de SSL generalmente abordarán problemas de rendimiento o configuración o problemas de integración con servicios de terceros que pueden generar advertencias que asustan a los usuarios. puede ser apropiado para algunos sitios web que son como folletos y donde el usuario no envía ninguna información.

Por otro lado, incluso si tiene un sitio web de folletos estáticos, el uso de TLS y certificados reales ayuda a comunicar a sus visitantes que su contenido es legítimo y tiene integridad. Imagine un sitio web político puramente similar a un folleto, si el atacante puede hacer algún tipo de ataque MitM y cambiar el contenido para que no perjudique al visitante, pero sí que lo haga.

En general, a menos que exista alguna configuración o requisitos de rendimiento impares, siempre es bueno implementar SSL / TLS. El riesgo (ataque o reputación) puede no ser suficiente para justificarlo. Además, puede ser difícil en algunos entornos de alojamiento compartido.

    
respondido por el Eric G 24.03.2014 - 23:43
fuente

Lea otras preguntas en las etiquetas