¿Todavía tiene sentido cifrar los datos sobre SSL? [duplicar]

0

Entiendo que las conexiones SSL ya tienen su capa de cifrado para proteger los datos transmitidos entre un cliente y un servidor.

Suponiendo que mi conexión tiene SSL, ¿todavía tiene sentido para mí cifrar los datos que se transfieren entre un cliente y el servidor utilizando claves?

Por ejemplo, podría estar enviando y llamando a una API REST con información confidencial. ¿Puedo simplemente enviarlos en texto claro a través de HTTPS? Creo que esto ya debería estar seguro con SSL, ¿no?

¿O debería seguir cifrando datos confidenciales antes de enviarlos? Pero, ¿tiene sentido cifrar dos veces los datos ya que estoy en una conexión HTTPS?

    
pregunta xenon 10.05.2017 - 15:44
fuente

2 respuestas

2

Depende principalmente de los riesgos que desee mitigar. Si puede (razonablemente) confiar en toda la infraestructura del servidor, y si no necesita proteger estos datos de un proxy corporativo de inspección profunda, puede confiar en la capa de cifrado SSL / TLS.

Normalmente, solo debe agregar otro nivel de cifrado en los siguientes casos de uso:

  • está trabajando detrás de un proxy corporativo con una profunda inspección de paquetes y los datos son lo suficientemente confidenciales como para requerir que estén ocultos para el equipo de soporte de la red local
  • los datos nunca deben estar en forma descifrada en el servidor. Esto se puede usar si no puede confiar en el equipo de administración del servidor

Un ejemplo de este último caso de uso es el intercambio de correos encriptados S / MIME. Aún usa TLS para proteger la comunicación (principalmente las credenciales) pero solo el destinatario final podrá leer el mensaje: el administrador del servidor de correo solo encuentra una carga cifrada.

    
respondido por el Serge Ballesta 10.05.2017 - 17:01
fuente
1

Si el servidor y del cliente se puede autenticar y el cliente está autorizado para acceder a los datos, el cifrado de los datos no proporciona ninguna seguridad adicional.

Sin embargo, si el canal de comunicación podría verse comprometido (por ejemplo, a través de un servidor proxy que actúa como un intermediario), sus datos pueden estar en riesgo. La autenticación correcta del servidor en el lado del cliente (por ejemplo, la fijación de certificados) puede evitar esto.

    
respondido por el Jonas Köritz 10.05.2017 - 15:49
fuente

Lea otras preguntas en las etiquetas