empleando SSL incluso en un servidor web no crítico [duplicado]

1

Sé que se debe usar SSL en servidores web que necesitan recopilar información de tarjetas de crédito, etc. Sin embargo, ¿es la mejor práctica de la industria activar SSL incluso para servidores web no críticos? por ejemplo, aquellos que solo se utilizan para la navegación estática, o aquellos que solo requieren un inicio de sesión y una contraseña simples, eso es todo.

Quisiera escuchar sus comentarios. gracias

    
pregunta dorothy 17.11.2014 - 16:08
fuente

4 respuestas

2

La estrategia cautelosa sería hacer SSL en todas partes, luego piense en cambiar a no SSL para algunas páginas si (y solo si) surgen problemas de rendimiento, eso Es probable que se solucione con ausencia de SSL. No usar SSL significa que el atacante pasivo puede ver todo el tráfico, y los atacantes activos pueden modificar a voluntad todas las partes que no son SSL, que pueden tener profundas ramificaciones. Por lo tanto, esto no es algo que deba hacerse a la ligera. La combinación de contenido SSL y no SSL en la misma página también tiende a producir advertencias o roturas en el navegador, por lo que hacer SSL parcial puede ser un desafío.

Los "problemas de rendimiento" que pueden surgir de forma plausible en presencia de un mundo completamente SSL se refieren al almacenamiento en caché; con SSL, los proxies transparentes que las solicitudes de datos de la memoria caché sobre la marcha, sin que los clientes se den cuenta, ya no pueden funcionar. A los grandes proveedores de Internet les gustan los proxies transparentes. Por otro lado, los "problemas de rendimiento" que vienen a la mente de la mayoría de los administradores de sistemas (a saber, la "obviamente" gran sobrecarga de cifrado) son, de hecho, en su mayoría míticas.

La práctica de la industria es, por supuesto, completamente diferente. La industria, en general, se queda sin SSL, luego la agrega de manera renuente, mucho después, solo para algunas páginas, y solo después de haber gastado todas las excusas sobre cómo los ataques a las páginas que no son SSL no son su problema, ya que son del lado del cliente. . Por alguna razón, muchos administradores de sistemas piensan en cambiar a SSL con la misma mentalidad que un ambientalista incondicional que considera reemplazar una central eléctrica de carbón por una nuclear.

    
respondido por el Tom Leek 17.11.2014 - 16:45
fuente
2

En agosto, Google anunció que estaba dando un pequeño impulso en rango de búsqueda a sitios que usaron SSL.

  

... En los últimos meses hemos estado ejecutando pruebas teniendo en cuenta   Si los sitios utilizan conexiones seguras y encriptadas como una señal en nuestro sitio.   búsqueda de algoritmos de ranking. Hemos visto resultados positivos, por lo que estamos   empezando a utilizar HTTPS como señal de ranking. Por ahora es sólo un muy   señal liviana: afecta a menos del 1% de las consultas globales, y   llevar menos peso que otras señales como contenido de alta calidad -   mientras damos tiempo a los webmasters para cambiar a HTTPS. Pero con el tiempo, nosotros   puede decidir fortalecerlo, porque nos gustaría animar a todos   los propietarios de sitios web cambian de HTTP a HTTPS para mantener a todos a salvo   la web.

Por lo tanto, Google está sugiriendo y alentando a los operadores de sitios web para que sean las mejores prácticas de la industria.

    
respondido por el CoverosGene 17.11.2014 - 17:16
fuente
2

Al decidir sobre SSL o no, recuerde que es más que simplemente confidencialidad:

  • verifique que el servidor sea de hecho el sitio con el que cree que habla
  • evitar que otros vean datos confidenciales impiden que otros
  • evita que otros modifiquen los datos que se transfieren

En algunos casos, cambiar los datos fuera de su conocimiento puede ser tan perjudicial como filtrar un secreto.

El protocolo de enlace SSL realiza algunos viajes de ida y vuelta entre el navegador y el servidor. Si necesita optar por SSL, es posible que deba hacer un esfuerzo adicional en otras partes del sitio web para compensar esa penalización de rendimiento.

    
respondido por el rvdheij 17.11.2014 - 17:56
fuente
1

Depende de qué datos se pasarán entre el cliente y el servidor. Por ejemplo, definitivamente necesitará SSL para el inicio de sesión del usuario. Generalmente uso SSL para todo lo que está en línea. Mi regla de oro es que, si los datos pasan a través de un medio abierto, utilice el cifrado.

    
respondido por el Oxon 17.11.2014 - 16:17
fuente

Lea otras preguntas en las etiquetas