El certificado para nuestro sitio público está a punto de caducar pronto. Nuestro sitio es enteramente http. El sitio se ejecuta en SharePoint, y con SharePoint trabajando con NTLM, las credenciales que se pasan sobre el sitio se realizan de manera segura (no en texto sin formato). Esto es para los usuarios que van al sitio y hacen cambios básicos (texto / imágenes). Una vez autenticados, editan el sitio en http.
Entonces, ¿es necesario que renovemos nuestro certificado?
Gracias
Si el certificado está ahí, entonces es probable que se use para algo y que algo se rompa cuando el certificado expire.
En su caso, si usa NTLM puro , entonces parece que no se usa ningún certificado, entonces tal vez Puedes dejar morir el certificado y ver que no pasa nada. Sin embargo, la autenticación en SharePoint puede ser complex , así que gané ' No pretendo dar ninguna garantía definitiva aquí.
Sin embargo, tenga en cuenta que el protocolo NTLM es vulnerable a los ataques de diccionario sin conexión: alguien que observa el tráfico no verá las contraseñas "tal como están", sino que aprenderá lo suficiente como para "probar las contraseñas en casa" a una velocidad limitada solo por la cantidad de PC que el atacante puede reunir, y eso se contará en docenas de millones por segundo . No son muchas las contraseñas elegidas por los usuarios que duran mucho tiempo en estas condiciones. Y, por supuesto, un sitio solo para HTTP es una presa fácil para los atacantes: si usa la autenticación, entonces teme los accesos no autorizados; si los datos son confidenciales, entonces un intruso pasivo verá los datos cuando los usuarios normales los recuperen; y un atacante activo puede secuestrar conexiones a voluntad (ese es el clásico Man-in- the-Middle : el atacante reenvía bytes en ambas direcciones, y cuando se realiza la autenticación, toma el control de la conexión).
En palabras sencillas: si realmente necesita algo de seguridad en su caso, entonces parece altamente improbable que no pueda usar SSL. Y si no necesita algo de seguridad, ¿por qué se usa la autenticación?