Vi que algunas secuencias de comandos de comercio electrónico también pueden ejecutarse sin ssl, pero todos recomiendan activarlo para proteger datos confidenciales.
Acabo de ver un sitio que tiene un enlace de tienda electrónica, si hago clic en él, mi navegador dice que el certificado de seguridad no es confiable y, de hecho, si hago clic en "continuar al sitio", cambia a http.
¿Es obligatorio activar ssl en una tienda?
Si no usa HTTPS, sino HTTP simple, entonces:
Por lo tanto, no está obligado por ley a usar HTTPS, pero si no lo hace, su negocio fracasará. La competencia de negocios abiertos es muy similar a la selección darwiniana: los débiles muere.
Editar: el comentario de @ XzKto muestra que no he sido completamente claro: el bit SSL es necesario para la transacción real, cuando los valores bancarios (por ejemplo, números de tarjetas de crédito) viajan a través de Internet. Ese es el que estoy hablando. Si el sitio registra los detalles de pago (para que pueda regresar y comprar nuevamente sin volver a ingresar el número de la tarjeta de crédito), entonces el botón "comprar ahora" también debe estar protegido por SSL (para evitar que un atacante haga "clic" en él en su nombre). El resto del sitio no tiene que estar necesariamente protegido con SSL, aunque SSL a menudo es una buena idea (es mucho más sencillo que tratar de determinar qué partes del sitio deben protegerse y qué partes pueden omitirse). ).
Voy a seguir adelante y lo diré. Sí, es obligatorio utilizar SSL con un sitio de comercio electrónico .
Si bien nadie te está siguiendo con un hacha para decapitarte si no usas SSL, usar SSL para sitios como el comercio electrónico es crucial . Por lo tanto, es obligatorio en el sentido de que tendrá muchos problemas cuando las cuentas de sus clientes sean robadas o cuando alguien comience a manipular las sesiones de sus clientes.
¿Por qué debería usar SSL con un sitio web de comercio electrónico?
Si no tiene información de cuenta y no maneja la información de la tarjeta de crédito a través de una pasarela de pago, entonces no, no es obligatorio. Es completamente posible ejecutar un sitio de comercio electrónico de manera segura sin HTTPS si sabe lo que está haciendo y salta a través de un montón de aros muy especiales. (Sin nombre de usuario / contraseña, proceso de pago externo a través de una pasarela de pago o Paypal, utilice los números de pedido para el seguimiento, etc.). En este caso, todo lo que estaría haciendo es hacer que las personas armen una lista de elementos y envíen esa lista (o el total) a un servicio seguro para tratar con los bits sensibles y envían un token como recibo.
Dicho esto, ¿por qué querrías tener los dolores de cabeza? Es mucho menos probable que las personas confíen en su sitio, incluso si lo configura correctamente para evitar todos los inconvenientes posibles de no tener HTTPS. Es mucho más fácil de hacer con HTTPS y vale la pena usar un certificado SSL autofirmado o barato. Puede obtener certificados SSL tan baratos como $ 60 por dos años (y quizás más baratos). Realmente no hay una buena razón para no usar SSL (HTTPS).
También tenga en cuenta que para manejar los detalles de la tarjeta de crédito, generalmente es obligatorio usar SSL para el intercambio como parte del acuerdo de servicios comerciales. Más específicamente, si toca, maneja, trabaja o almacena información de la tarjeta de pago (PCI), entonces es casi seguro que el acuerdo de servicios comerciales requerirá que cumpla con el PCI-DSS. Esta es una gran parte de la razón por la que incluso las tiendas que utilizan SSL a menudo optan por usar una pasarela de pago para manejar los datos de la tarjeta de crédito para que no tengan que preocuparse por los puntos más finos de PCI-DSS.
No es "obligatorio": nadie está forzando los sitios.
Pero es aconsejable. Si bien la página de inicio / etc 1 no necesita estar en una conexión HTTPS, todas las páginas que tienen formularios y las que muestran datos confidenciales deberían estar. Por ejemplo, está perfectamente bien que un sitio le permita comprar en HTTP, pero lo redireccionará a HTTPS para que realice el pago.
Intente mantener HTTPS para todas las páginas después de iniciar sesión para evitar también el secuestro de sesiones. Es mejor mantener tus páginas HTTPS en un dominio separado ( http://example.com pero https://shop.example.com ) por el mismo motivo.
De lo contrario, solo cifre todas las cosas . No es demasiado difícil.
Sin una conexión HTTPS, todos los detalles que ingreses en el formulario serán visibles para un atacante.
1. Sin embargo, puede haber algunos beneficios de hacer esto. Podría evitar que un hombre en el medio modifique los enlaces seguros para que apunten a sus propios sitios HTTP.
No, no es obligatorio, pero debes ser extremadamente cuidadoso si no lo haces.
HTTPS puede detener al hombre en los ataques medios, a lo que HTTP es muy vulnerable.
Sin embargo, HTTPS conlleva una sobrecarga del procesador (y, por lo tanto, de la velocidad). HTTPS hace que los datos de fuera de sesión no se almacenen en caché y, por lo tanto, pueden volver a descargar el contenido con cada visita. También le impide usar (o hace que sea mucho más difícil de usar) las redes de distribución de contenido.
Por lo tanto, muchos sitios intentan arreglárselas sin él, pero es una línea peligrosa, ya que mezclar HTTP y HTTPS es muy arriesgado: tiene que usar cookies de autenticación HTTPS, lo que significa que su usuario solo iniciará sesión cuando visite páginas HTTPS. .
Si alguna vez permites que una cookie de autenticación HTTPS se envíe a una página HTTP, entonces dejas abierta una ruta de ataque fácil para los piratas informáticos.
Lo que hacen muchos sitios es esto:
Esto es lo que hace Amazon: las cookies que contienen su nombre de usuario y la cesta no son seguras y se pueden eliminar fácilmente, pero tiene que iniciar sesión en el área HTTPS (o tener una cookie HTTPS válida e caducada) para comprar o ver su cuenta.
Sin embargo, esa es una línea muy fina, necesita buenos desarrolladores y personal de soporte (altamente conscientes de la seguridad). Para la mayoría de los sitios, es mucho más fácil y con menor riesgo para solo HTTPS todo.
Actualización 2016
Ya no creo que mi respuesta sea correcta. HTTPS es ahora obligatorio, por un par de razones:
No es obligatorio y las cosas funcionarán incluso con http, pero no se recomienda .
Al usar https, se asegura de que la comunicación entre usted y sus clientes que pueda contener los detalles de su tarjeta de crédito y los detalles de la orden esté encriptada y no pueda ser vista por un tercero que ejecuta un detector de paquetes.
Digamos que no utiliza https:
Si bien es una práctica que debe seguirse siempre que se transmiten datos confidenciales (por ejemplo, credenciales de autenticación), el uso de HTTPS es obligatorio solo cuando se trata del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS).
¿El sitio de comercio electrónico almacena, procesa o transmite datos de la cuenta? Si es así, entonces debe cumplir con PCI-DSS.
PCI-DSS v2.0 indica claramente:
4.1 Use criptografía y protocolos de seguridad sólidos (por ejemplo, SSL / TLS, IPSEC, SSH, etc.) para proteger los datos confidenciales de los titulares de tarjetas durante la transmisión a través de redes abiertas y públicas.
Nota: datos de la cuenta incluye el Número de cuenta principal (PAN), Nombre del titular de la tarjeta, Fecha de caducidad, Código de servicio, Datos completos de banda magnética o equivalente en un chip, CAV2 / CVC2 / CVV2 / CID, PIN / Bloques de PIN