Ejecutando servidor web con SSL habilitado pero no usado

1

Tenemos un servidor web alojado por un tercero que se ejecuta en el puerto 80. También han habilitado SSL pero no lo usamos. Solo estamos utilizando el puerto 80. En este momento, cuando realizo un análisis de vulnerabilidades, se detectan algunas vulnerabilidades de SSL y me preocupa que si los piratas informáticos logran comprometer el SSL, ¿esto también afectaría a mi servidor web? Gracias.

    
pregunta Pang Ser Lark 22.04.2015 - 11:46
fuente

1 respuesta

2

Depende de las vulnerabilidades exactas que se hayan encontrado, pero a menos que existan amenazas muy específicas como desbordamiento de búfer, inyección de código, etc., la respuesta general es que si no usa SSL, entonces está no preocupado por las debilidades de SSL.

El objetivo de SSL es proporcionar seguridad de canal de comunicación a través de la confidencialidad, integridad y autenticación. En general, las amenazas SSL intentarán atacar al menos uno de estos puntos para disminuir la seguridad de la conexión SSL. Esto permitiría descifrar intercambios encriptados, hacerse pasar por el servidor SSL, etc.

Pero, como solo está usando HTTP, entonces no se utiliza la seguridad del canal de comunicación y, por lo tanto, no se puede atacar. Por lo tanto, si el puerto SSL estuviera mal configurado con suites de cifrado deficientes y certificados deficientes, esto no afectará su servicio solo HTTP.

    
respondido por el WhiteWinterWolf 22.04.2015 - 12:50
fuente

Lea otras preguntas en las etiquetas