¿Es obligatorio tener https en el sitio de comercio electrónico?

10

Vi que algunas secuencias de comandos de comercio electrónico también pueden ejecutarse sin ssl, pero todos recomiendan activarlo para proteger datos confidenciales.

Acabo de ver un sitio que tiene un enlace de tienda electrónica, si hago clic en él, mi navegador dice que el certificado de seguridad no es confiable y, de hecho, si hago clic en "continuar al sitio", cambia a http.

¿Es obligatorio activar ssl en una tienda?

    
pregunta Harlandraka 05.04.2013 - 13:03
fuente

7 respuestas

25

Si no usa HTTPS, sino HTTP simple, entonces:

  • Serás hackeado; los números de las tarjetas de crédito serán robados mientras se encuentren en tránsito, y los clientes lo demandarán al olvido.
  • Usted sería hackeado de todos modos en algún momento, esa es la gran cantidad de sitios web. Incluso si el hacker ingresó de alguna otra manera, el análisis post-mortem mostrará la falta de SSL, y esto se verá muy mal.
  • Perderás clientes . Muchos clientes potenciales no ingresarán su número de tarjeta de crédito, por falta de la imagen del candado que lo tranquiliza; en lugar de eso, comprarán en el sitio web de un competidor.

Por lo tanto, no está obligado por ley a usar HTTPS, pero si no lo hace, su negocio fracasará. La competencia de negocios abiertos es muy similar a la selección darwiniana: los débiles muere.

Editar: el comentario de @ XzKto muestra que no he sido completamente claro: el bit SSL es necesario para la transacción real, cuando los valores bancarios (por ejemplo, números de tarjetas de crédito) viajan a través de Internet. Ese es el que estoy hablando. Si el sitio registra los detalles de pago (para que pueda regresar y comprar nuevamente sin volver a ingresar el número de la tarjeta de crédito), entonces el botón "comprar ahora" también debe estar protegido por SSL (para evitar que un atacante haga "clic" en él en su nombre). El resto del sitio no tiene que estar necesariamente protegido con SSL, aunque SSL a menudo es una buena idea (es mucho más sencillo que tratar de determinar qué partes del sitio deben protegerse y qué partes pueden omitirse). ).

    
respondido por el Thomas Pornin 05.04.2013 - 13:34
fuente
6

Voy a seguir adelante y lo diré. Sí, es obligatorio utilizar SSL con un sitio de comercio electrónico .

Si bien nadie te está siguiendo con un hacha para decapitarte si no usas SSL, usar SSL para sitios como el comercio electrónico es crucial . Por lo tanto, es obligatorio en el sentido de que tendrá muchos problemas cuando las cuentas de sus clientes sean robadas o cuando alguien comience a manipular las sesiones de sus clientes.

¿Por qué debería usar SSL con un sitio web de comercio electrónico?

  1. Proteja la información de inicio de sesión de sus clientes.
  2. Evite el secuestro de las sesiones de sus clientes (las cookies se enviarán en texto sin formato).
  3. Proteger a sus clientes para que no los lleven a un sitio web completamente diferente ( falsificación de DNS ).
respondido por el Adi 05.04.2013 - 13:29
fuente
5

Si no tiene información de cuenta y no maneja la información de la tarjeta de crédito a través de una pasarela de pago, entonces no, no es obligatorio. Es completamente posible ejecutar un sitio de comercio electrónico de manera segura sin HTTPS si sabe lo que está haciendo y salta a través de un montón de aros muy especiales. (Sin nombre de usuario / contraseña, proceso de pago externo a través de una pasarela de pago o Paypal, utilice los números de pedido para el seguimiento, etc.). En este caso, todo lo que estaría haciendo es hacer que las personas armen una lista de elementos y envíen esa lista (o el total) a un servicio seguro para tratar con los bits sensibles y envían un token como recibo.

Dicho esto, ¿por qué querrías tener los dolores de cabeza? Es mucho menos probable que las personas confíen en su sitio, incluso si lo configura correctamente para evitar todos los inconvenientes posibles de no tener HTTPS. Es mucho más fácil de hacer con HTTPS y vale la pena usar un certificado SSL autofirmado o barato. Puede obtener certificados SSL tan baratos como $ 60 por dos años (y quizás más baratos). Realmente no hay una buena razón para no usar SSL (HTTPS).

También tenga en cuenta que para manejar los detalles de la tarjeta de crédito, generalmente es obligatorio usar SSL para el intercambio como parte del acuerdo de servicios comerciales. Más específicamente, si toca, maneja, trabaja o almacena información de la tarjeta de pago (PCI), entonces es casi seguro que el acuerdo de servicios comerciales requerirá que cumpla con el PCI-DSS. Esta es una gran parte de la razón por la que incluso las tiendas que utilizan SSL a menudo optan por usar una pasarela de pago para manejar los datos de la tarjeta de crédito para que no tengan que preocuparse por los puntos más finos de PCI-DSS.

    
respondido por el AJ Henderson 05.04.2013 - 15:10
fuente
4

No es "obligatorio": nadie está forzando los sitios.

Pero es aconsejable. Si bien la página de inicio / etc 1 no necesita estar en una conexión HTTPS, todas las páginas que tienen formularios y las que muestran datos confidenciales deberían estar. Por ejemplo, está perfectamente bien que un sitio le permita comprar en HTTP, pero lo redireccionará a HTTPS para que realice el pago.

Intente mantener HTTPS para todas las páginas después de iniciar sesión para evitar también el secuestro de sesiones. Es mejor mantener tus páginas HTTPS en un dominio separado ( http://example.com pero https://shop.example.com ) por el mismo motivo.

De lo contrario, solo cifre todas las cosas . No es demasiado difícil.

Sin una conexión HTTPS, todos los detalles que ingreses en el formulario serán visibles para un atacante.

1. Sin embargo, puede haber algunos beneficios de hacer esto. Podría evitar que un hombre en el medio modifique los enlaces seguros para que apunten a sus propios sitios HTTP.

    
respondido por el Manishearth 05.04.2013 - 13:09
fuente
3

No, no es obligatorio, pero debes ser extremadamente cuidadoso si no lo haces.

HTTPS puede detener al hombre en los ataques medios, a lo que HTTP es muy vulnerable.

Sin embargo, HTTPS conlleva una sobrecarga del procesador (y, por lo tanto, de la velocidad). HTTPS hace que los datos de fuera de sesión no se almacenen en caché y, por lo tanto, pueden volver a descargar el contenido con cada visita. También le impide usar (o hace que sea mucho más difícil de usar) las redes de distribución de contenido.

Por lo tanto, muchos sitios intentan arreglárselas sin él, pero es una línea peligrosa, ya que mezclar HTTP y HTTPS es muy arriesgado: tiene que usar cookies de autenticación HTTPS, lo que significa que su usuario solo iniciará sesión cuando visite páginas HTTPS. .

Si alguna vez permites que una cookie de autenticación HTTPS se envíe a una página HTTP, entonces dejas abierta una ruta de ataque fácil para los piratas informáticos.

Lo que hacen muchos sitios es esto:

  • Los usuarios anónimos pueden navegar por la tienda electrónica y crear una cesta de la compra
  • Una vez que continúen con el proceso de pago o inicien sesión , cambian a la versión (más lenta) segura de HTTPS.
  • Se les da una cookie de autenticación solo para HTTPS, y algunas veces también una cookie HTTP con solo el nombre de usuario.

Esto es lo que hace Amazon: las cookies que contienen su nombre de usuario y la cesta no son seguras y se pueden eliminar fácilmente, pero tiene que iniciar sesión en el área HTTPS (o tener una cookie HTTPS válida e caducada) para comprar o ver su cuenta.

Sin embargo, esa es una línea muy fina, necesita buenos desarrolladores y personal de soporte (altamente conscientes de la seguridad). Para la mayoría de los sitios, es mucho más fácil y con menor riesgo para solo HTTPS todo.

Actualización 2016

Ya no creo que mi respuesta sea correcta. HTTPS es ahora obligatorio, por un par de razones:

  • HTTP / 2 significa que los sitios seguros suelen ser mucho más rápidos.
  • Varias funciones avanzadas son solo HTTPS, como los trabajadores de servicio.
  • Google Chrome (y probablemente otros navegadores pronto) están marcando cada vez más los sitios que no usan HTTPS. Para 2017, en lugar de solo el candado verde, los sitios sin HTTPS mostrar una advertencia :

respondido por el Keith 05.04.2013 - 17:43
fuente
2

No es obligatorio y las cosas funcionarán incluso con http, pero no se recomienda .

Al usar https, se asegura de que la comunicación entre usted y sus clientes que pueda contener los detalles de su tarjeta de crédito y los detalles de la orden esté encriptada y no pueda ser vista por un tercero que ejecuta un detector de paquetes.

Digamos que no utiliza https:

  1. Los detalles de la tarjeta de crédito y cualquier otra información pueden verse comprometidos por el simple uso de la captura de paquetes.
  2. Será muy fácil hacer un ataque MITM. Esto puede resultar en la corrupción de datos importantes como detalles de pago o detalles de pedidos sin el conocimiento de las dos partes que se comunican
  3. Estás haciendo un negocio. Si sus contrapartes tienen esta característica, debe implementar esta característica o perderá clientes.
respondido por el Shurmajee 05.04.2013 - 13:17
fuente
2

Si bien es una práctica que debe seguirse siempre que se transmiten datos confidenciales (por ejemplo, credenciales de autenticación), el uso de HTTPS es obligatorio solo cuando se trata del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS).

¿El sitio de comercio electrónico almacena, procesa o transmite datos de la cuenta? Si es así, entonces debe cumplir con PCI-DSS.

PCI-DSS v2.0 indica claramente:

  

4.1 Use criptografía y protocolos de seguridad sólidos (por ejemplo, SSL / TLS, IPSEC, SSH, etc.) para proteger los datos confidenciales de los titulares de tarjetas durante la transmisión a través de redes abiertas y públicas.

Nota: datos de la cuenta incluye el Número de cuenta principal (PAN), Nombre del titular de la tarjeta, Fecha de caducidad, Código de servicio, Datos completos de banda magnética o equivalente en un chip, CAV2 / CVC2 / CVV2 / CID, PIN / Bloques de PIN

    
respondido por el Gurzo 05.04.2013 - 16:28
fuente

Lea otras preguntas en las etiquetas