El beneficio (seguridad) de SSL para el propietario del sitio web

Tiene algunas buenas preguntas y algunos conceptos erróneos. Intentemos desenredarlos.

  

También tengo una idea acerca de otros beneficios (por ejemplo, los beneficios de velocidad de HTTP / 2).

Otro importante: la optimización del motor de búsqueda, ya que obtienes GooglePoints por tener TLS. (Lo que alimenta tu punto de que los webmasters necesitan incentivos externos ...)

  

Supongo que porque también sabría que el cliente con el que realizo las transacciones está certificado y la información que les envio está encriptada. ... ¿Pero no puede un cliente [sic] acceder a mi sitio web con certificados autofirmados?

Sí y no, y sí, ... y no. Vamos a desenredar esto.

Autenticación de cliente TLS (que requiere que los clientes presenten certificados) es algo que normalmente se ve en servidores VPN, puntos de acceso WiFi WPA2 para empresas e intranets corporativos. Todos estos son sistemas cerrados donde el administrador del sistema tiene control total sobre la emisión de certificados a los usuarios, y lo utilizan para controlar qué usuarios tienen acceso a qué recursos. Esto no tiene sentido en una configuración de sitio web público, y definitivamente es una configuración no estándar para un servidor web HTTPS.

Dicho esto, lo que ganas es esto:

Encrypted TLS session
| Client loads login page
| Client sends username / password
| Client does "logged in things"

Por lo tanto, obtienes una mayor confianza en que el usuario es quien dice ser porque el nombre de usuario / contraseña ya no se envía de forma clara, por lo tanto ya no es posible que un hombre en el medio intercepte / modifique / robe .

Después de eso, cualquiera de los datos que el cliente envía al servidor, o obtiene del servidor, se cifra de extremo a extremo al cliente. Por lo general, tienes razón: esto protege al cliente más que al servidor, pero evita que el intermediario pueda inyectar material malicioso en los archivos que el usuario carga, inyectando comandos maliciosos para que se ejecuten como si vinieran de ese usuario. .

  

¿Pero no puede un cliente actuar éticamente y acceder a mi sitio web con certificados autofirmados, etc., que afirman ser quienes deseen?

Un poco, sí. Para un sitio web público, cualquiera puede abrir una conexión TLS. Si desea que los usuarios se autentiquen, necesita tener un mecanismo de inicio de sesión en la parte superior, TLS no proporciona generalmente esto para usted (a menos que esté utilizando el mecanismo de certificado de cliente mencionado anteriormente).

  

Pero algo que me preguntaba recientemente era si el sitio web se beneficia de manera similar con esta transacción.

Básicamente, los beneficios para el servidor son que cualquier dato enviado al usuario solo será visto por el usuario deseado. Si, por ejemplo, les está enviando copias de sus estados financieros, entonces sus abogados estarán muy contentos de escuchar esto. También significa que todos los datos recibidos del usuario provienen de ese usuario y no de un atacante que pretende ser ellos.

Si sus usuarios legítimos están actuando maliciosamente, bueno, ese es un problema diferente, después de todo, eligió para darles acceso al sistema. Lo que hace TLS (+ su propio marco de inicio de sesión) es asegurar que solo los usuarios legítimos tengan acceso. Lo que hacen con ese acceso no es el problema de TLS.

Evita que el ISP inyecte sus propios anuncios en lugar de tu propio. Si confía en la publicidad para obtener ingresos, https ayuda a proteger su flujo de ingresos.

Uno de los mayores beneficios para un operador de sitio es mayor confianza de los usuarios ; a menudo esperamos que verifiquen la presencia de HTTPS antes de ingresar los detalles de la tarjeta de crédito en un sitio de comercio electrónico, por ejemplo, y el "candado verde" de un certificado EV proporciona una verificación adicional de que el sitio web es operado por la entidad que dice ser. .

Qué tan grande es el efecto que esto tiene, no lo sé. El proyecto Stanford Web Credibility tiene una colección de recomendaciones para hacer que un sitio web parezca creíble, y HTTPS no aparece en la lista. Sin embargo, los documentos citados allí son todos de 15-20 años en este momento. Mucho ha cambiado la tecnología entonces, pero la verdadera pregunta es cuánto han cambiado personas .

HTTPS solo protege el transporte contra el rastreo o la modificación, es decir, contra un atacante entre el cliente y el servidor, pero no contra un atacante en el servidor o el propio cliente. No hace que el servidor sea mágicamente más seguro ni hace que el cliente sea más confiable al servidor. Esto significa que un servidor protegido por HTTPS puede, por ejemplo, servir malware y un cliente que se conecta con HTTPS aún puede explotar problemas de seguridad en el lado del servidor, como la inyección SQL o similar.

Muchos navegadores (Firefox lo hace de manera muy prominente) advierten a los usuarios que no ingresen sus contraseñas en sitios web no seguros. Naturalmente, los propietarios de sitios web no quieren que sus usuarios vean estas grandes advertencias de miedo (que, en el caso de Firefox, también hacen que los datos de inicio de sesión rellenados sean difíciles de usar), y asegurar sus sitios es la única forma de deshacerse de ellos.

Entonces, si el sitio web permite que los usuarios inicien sesión, hay un fuerte incentivo para agregar seguridad. Este es un incentivo externo, forzado por los proveedores de navegadores.

Una configuración SSL estándar no proporciona ningún beneficio de seguridad al servidor, per se. Saben que el tráfico de dos y desde el punto final que realizó la solicitud cifrada no se ha manipulado en tránsito, pero no hay garantías de que el punto final que realizó la solicitud no esté funcionando como MITM.

Es posible configurar SSL de tal manera que pueda validar los clientes. La mayoría de los servidores web (Apache, nginx, IIS, etc.) le permitirán configurar las autenticaciones basadas en certificados del cliente, lo que significa que cada cliente que acceda al sitio web tendrá su propio certificado único, y el servidor web no proporcionará páginas a ningún cliente que no tiene un certificado valido Distribuir y mantener los certificados de clientes es una gran cantidad de gastos generales, por lo que este tipo de configuración generalmente solo se realiza en entornos con un número limitado de clientes, como aplicaciones de intranet, API con un pequeño número de usuarios, etc.

Buenas respuestas hasta ahora, solo quiero agregar lo siguiente:

No todos los TLS (SLL más antiguos) tienen el mismo nivel de seguridad, por lo que es bueno compararlo con enlace .

Y TLSv3 tiene algunas vulnerabilidades, así que solicite deshabilitar en la configuración del servidor.

No voy a decir que TLS es a prueba de balas en comparación con MitM, ya que sabemos que es posible eliminar ssl y HSTS, pero hace mucho más difícil para un atacante hacerlo ya que necesita estar en la misma red que el usuario.

El mayor beneficio, además de la comunicación segura, es que obtiene un mejor ranking de Google SEO a medida que los sitios web con TLS se vuelven más fáciles de alcanzar, como se hace referencia aquí. boost-secure-httpsssl-sites-199446 "> enlace .

Luego, como empresa, el usuario final cuando ve el bloqueo en el navegador web tiene una sensación más segura, sé que es un poco estúpido porque configuré muchos sitios web estáticos con TLS / HTTPS donde no había datos del servidor o del servidor. pero por el bien del SEO y la experiencia del usuario final.

Para jugar al abogado del diablo aquí, habilitar TLS en su servidor web si no lo necesita (es decir, no se pasa información confidencial entre el servidor y el cliente) en realidad podría reducir la seguridad .

Por la sencilla razón: agrega mucho más código, y más código significa más errores y una mayor superficie de ataque. Por lo tanto, es posible que tengas problemas como Heartbleed , ejecución remota de código y otros problemas que de otra forma no tendrías.

Por supuesto, el problema es discutible: hay bastante más errores en el código que ejecuta su web dinámica que en la biblioteca TLS de su servidor web, por lo que, a menos que esté ejecutando un servidor HTTP auditado muy pequeño con solo contenido estático, la reducción de la seguridad es probablemente insignificante.

Y HTTPS (además de ser un buen SEO para google y amigos) puede protegerlo de algunos males como MitM ataques (por otra parte, debido a fallas con el modelo de CA de HTTPS, se trata principalmente de "sentirse bien" "seguridad" ya que se ve obligado a "confiar" en docenas de CA que tiene definitivamente no hay razón para confiar en nada )

¿El beneficio para el propietario del sitio web? Sus usuarios son más seguros. No hay un beneficio real para los propietarios de sitios web aparte de eso, y es por eso que muchos sitios web aún no tienen HTTPS / SSL (porque la configuración de HTTP / SSL realmente requiere un trabajo del cual el propietario del sitio web no ve ningún beneficio directo).

Mantener a los usuarios seguros debería ser la prioridad más importante para los propietarios de sitios web, pero desafortunadamente no lo es.

SSL garantiza que las personas no pueden (fácilmente) pretender ser tú. Eso es un plus. Además, si está tratando con información de identificación personal (PII), SSL proporciona seguridad adicional, lo que ayuda a evitar la vergüenza de que alguien robe la información de su cliente. En muchos países, está legalmente obligado a tomar medidas para proteger la PII de sus clientes, y SSL es una de las formas en que puede hacerlo.

Si desea que su sitio web se encuentre a través de Google, SSL tiene el beneficio adicional de te pone más alto en los resultados de búsqueda , aunque solo un poco.

Como han señalado otros, SSL (o TLS) aumenta la confianza con sus usuarios .

Unbounce citó esto en un artículo reciente del blog :

  

Como GlobalSign, un proveedor de certificados de confianza en la web descubrió, el 84% de   los visitantes del sitio web encuestados dijeron que abandonarían una compra si   sabía que los datos se enviarían a través de una conexión insegura .

De hecho, esto ahora afecta a los propietarios de negocios más directamente: Google Chrome ha comenzado marcando los sitios que no son SSL como 'no seguros' .

SSL / TLS reduce la responsabilidad del propietario del sitio . El tráfico no es fácilmente falsificado o interceptado. Sus clientes más litigiosos no tendrán motivos para demandarlo por negligencia.

Obtienes un impulso de SEO en los principales motores de búsqueda , incluido Google. Consulte enlace

No cuesta mucho . Con proveedores como letsencrypt y administrador de certificados de AWS , los certificados SSL / TLS gratis son más fáciles de configurar que nunca