Tengo un servidor HTTP REST en el puerto localhost y un cliente HTTP se ejecuta localmente y se comunica con el servidor. El cliente podría enviar información confidencial (credencial, etc.) al servidor y la API de Windows encripta / desencripta la credencial.
En este caso, ¿necesito envolver el servidor HTTP con SSL (para ser un servidor HTTPS)?
No. No es necesario en absoluto. Primero, porque la captura / modificación de paquetes requiere derechos de administrador. Pero en segundo lugar, con los derechos de administrador, también puede modificar otros procesos que no posee, por lo que puede modificar / leer la RAM del cliente o servidor antes de que la capa SSL encripte los datos, o después de que sea descifrada por la Capa SSL.
Por lo tanto, SSL no contribuirá ni comprometerá nada en lo que respecta a la seguridad, tendrá un efecto cero. Puede tener un efecto en el rendimiento.
Además, como la clave privada para el certificado debe almacenarse en la misma máquina, el atacante podría robar esa clave y utilizarla para leer / modificar el tráfico local.
Por lo tanto, SSL solo hará que la depuración sea más difícil y no agregará nada.
Vale la pena tener en cuenta que el hecho de que un servidor esté vinculado a la interfaz de bucle invertido no impide que el código malicioso realice solicitudes del servidor desde otro lugar de su computadora, incluso sin acceso administrativo para detectar el tráfico de otros clientes que interactúan con el servidor. . Consulte la ronda de vulnerabilidades convocada a fines del año pasado: enlace
Esto no significa que necesite SSL / TLS; significa que debe tener esto en cuenta al diseñar el servidor local.