¿El uso del protocolo "HTTPS" es suficiente para la seguridad de los datos del sitio web, o debo usar otro algoritmo de cifrado (Elgamal, RSA o algo más) también?
¿Se describe el ataque BREACH aquí ¿afecta esta decisión?
HTTPS es HTTP-within- SSL (SSL ahora se conoce como TLS). La capa SSL proporciona seguridad para los datos en tránsito en el siguiente sentido:
HTTPS no hace nada más allá de la seguridad de las transferencias de datos. Si su sitio web hace tonterías con los datos recibidos, por ejemplo. permitiendo que se produzca un inyección SQL , entonces el HTTPS no lo impedirá de ninguna manera. Algoritmos criptográficos adicionales tampoco ayudarían. La criptografía, por regla general, proporciona algunas características que son muy convenientes para crear seguridad, pero no son suficientes . Acumular algoritmos no hará que su sitio sea "arbitrariamente seguro" de la misma manera que agregar motores adicionales hará que su automóvil sea más rápido, especialmente si no tiene ruedas. Un automóvil sin rueda no irá muy lejos, incluso si tiene el motor más grande hasta ahora, e incluso si agrega un motor adicional. De manera similar, HTTPS no otorgará protección automática contra todo, y no es una cuestión de "no se aplican suficientes algoritmos".
Además, se sabe que la aplicación descuidada de múltiples algoritmos criptográficos degrada el rendimiento (muy a menudo) y también de degradar la seguridad (menos a menudo, pero a menudo lo suficiente como para ser una preocupación). En la analogía del automóvil, un motor adicional puede hacer que su automóvil sea más lento si lo enchufa al revés, lo que hace que se oponga al movimiento del motor principal.
Lea otras preguntas en las etiquetas tls