Tenemos un servidor web alojado por un tercero que se ejecuta en el puerto 80. También han habilitado SSL pero no lo usamos. Solo estamos utilizando el puerto 80. En este momento, cuando realizo un análisis de vulnerabilidades, se detectan algunas vulnerabilidades de SSL y me preocupa que si los piratas informáticos logran comprometer el SSL, ¿esto también afectaría a mi servidor web? Gracias.
Depende de las vulnerabilidades exactas que se hayan encontrado, pero a menos que existan amenazas muy específicas como desbordamiento de búfer, inyección de código, etc., la respuesta general es que si no usa SSL, entonces está no preocupado por las debilidades de SSL.
El objetivo de SSL es proporcionar seguridad de canal de comunicación a través de la confidencialidad, integridad y autenticación. En general, las amenazas SSL intentarán atacar al menos uno de estos puntos para disminuir la seguridad de la conexión SSL. Esto permitiría descifrar intercambios encriptados, hacerse pasar por el servidor SSL, etc.
Pero, como solo está usando HTTP, entonces no se utiliza la seguridad del canal de comunicación y, por lo tanto, no se puede atacar. Por lo tanto, si el puerto SSL estuviera mal configurado con suites de cifrado deficientes y certificados deficientes, esto no afectará su servicio solo HTTP.
Lea otras preguntas en las etiquetas web-application tls webserver vulnerability-scanners