¿Se está muriendo SSL? ¿Debo comprar certificados SSL para mis sitios más?

Todos, excepto el tercer enlace, se refieren a SSLv3 (versión 3) que está afectado por la vulnerabilidad del poodle. Debe utilizar el protocolo TLS, que es el sucesor de SSL y no se ve afectado. Debe configurar su servidor web para que sea compatible con TLS 1.0, 1.1 y 1.2, que debería abarcar la mayoría de los dispositivos, excepto algunos arcaicos como IE6.0, mientras se mantiene seguro. El certificado utilizado para ambos protocolos es el mismo.

La mayoría de los sitios web de medios masivos se refieren a TLS / SSL simplemente como SSL. En realidad son dos protocolos separados.

Más información aquí: ¿Cuál es la diferencia entre SSL, TLS? y HTTPS?

En cuanto al tercer enlace, se refiere a IPv6 supercediendo SSL. Mi opinión es que tomará al menos algunos años más para que IPv6 se convierta en el esquema de direccionamiento de facto. Mientras tanto, un certificado SSL protegerá su sitio. Después de todo, puede comprar un certificado para 1-2 años de duración si tiene miedo de que se vuelva obsoleto en un futuro próximo.

Te encuentras con un poco de confusión terminológica. SSL puede significar dos cosas:

1. El protocolo Secure Sockets Layer , versiones 1, 2, o 3.

2. La familia genérica SSL / TLS de los protocolos de seguridad.

La definición 1 de SSL está completamente obsoleta y no debe utilizarse. La definición 2 de SSL todavía está muy viva, con las buenas piezas de la definición 1 de SSL (como gran parte del mecanismo de certificado) incorporadas en los estándares TLS modernos.

  

Isla Infosec: IPv6 - La muerte de SSL

El artículo habla sobre el uso de IPSec como parte integral de IPv6 en lugar de SSL / TLS. IPSec mueve principalmente el cifrado de la capa de aplicación a la capa de transporte.

Pero, el problema principal con SSL / TLS no son fallas en el protocolo o en el código criptográfico. En cambio, el principal problema es la PKI, que es el uso adecuado de los certificados y CA para generar y propagar la confianza y, por lo tanto, proporcionar una autenticación confiable. IPSec no tiene mejoras en esta área. Incluso si IPSec se usará en todas partes, probablemente usará la misma PKI rota que ya usamos con SSL / TLS. Y los certificados son necesarios en ambos casos.

Aparte de las otras buenas respuestas sobre la confusión entre SSL y TLS contra certificado, la pregunta de si debe continuar "comprando" un certificado SSL puede verse influida por el próximo lanzamiento de Let's Encrypt (patrocinado por la EFF, Mozilla, et al), que comenzará a ofrecer certificados SSL gratuitos y llave en mano en 2015.

A menos que necesite un certificado de lujo (EV, comodín, etc., que Let's Encrypt no necesariamente pueda proporcionar), podrá usar sus certificados en su sitio sin necesidad de pagar un centavo.

Aunque ya hay algunas otras CA que ofrecen certificados gratuitos (siendo Startcom uno de los ejemplos más conocidos), creo que Let's Encrypt será el primer jugador importante en extender una oferta gratuita a sitios comerciales también.