¿Hay algún beneficio de seguridad para conectarse a través de HTTPS si el certificado no es válido?

Navega tus respuestas
6

TL; DR: ¿Hay alguna diferencia entre un authentic y un secure ? Más precisamente, ¿hay algún beneficio de seguridad para estar conectado a un sitio web a través de HTTPS si el certificado no es válido?

Después de una prueba que hice hoy, nos preguntaron si era mejor estar en un sitio web seguro o en un sitio web auténtico al navegar en un sitio web de compras. se preguntó si había alguna diferencia entre secure y authentic .

IMO, por definición, un sitio web auténtico tiene para estar protegido, de lo contrario, cualquier autenticación del sitio web no tendría sentido.

Pero entonces, ¿es cierto de otra manera? ¿Un sitio web protegido necesariamente está autenticado? ¿Podemos seguir considerando que está utilizando HTTPS y que existe un beneficio de seguridad si el certificado no es válido?

Según mi entendimiento personal, aunque una "conexión segura asimétrica no autenticada" será menos segura que una autentificada, todavía existe el beneficio de que mientras no ocurra un hombre en el ataque central , nadie podrá decodificar lo que se transmitió, ¿verdad?

    
pregunta Trevör Anne Denise 09.12.2016 - 18:36
fuente

3 respuestas

9

En términos generales, estás correcto. Aún se está conectando a través de HTTPS, como supuso. Sin embargo, la autenticación es de hecho una parte crítica de la seguridad TLS y HTTPS. A pesar de que los datos están protegidos por TLS, sin un certificado válido y correcto, no puede estar seguro de con quién está hablando en el otro extremo. Puede ser un servidor para el sitio que espera. Sin embargo, es muy difícil saber si, de hecho, puede haber un intermediario, descifrando y examinando (y posiblemente manipulando) el tráfico, antes de volver a cifrarlo para reenviarlo de un lado a otro. y el sitio con el que crees que estás hablando.

Entonces, si bien existe la posibilidad de que una conexión no autenticada aún sea segura, es bastante difícil de saber, y en la mayoría de los casos, un error de certificado de hecho será una indicación de que algo está mal con la conexión.

    
respondido por el Xander 09.12.2016 - 18:51
fuente
5

Sí. A pesar de que alguien podría ser MitMing, otras personas en la línea aún no pueden ver lo que estás haciendo. También puede verificar manualmente la clave pública para los certificados autoemitidos, por ejemplo.

    
respondido por el billc.cn 09.12.2016 - 18:51
fuente
2
  

Entonces, si decides continuar, ¿estás realmente navegando con http?   protocolo? ¿O el protocolo https?

De hecho, está navegando por el sitio web mediante https, es solo el emisor del certificado SSL en el que no confía el navegador.

  

Me estaba haciendo esta pregunta después de una prueba que tenía hoy donde   se nos preguntó si era mejor estar en un sitio web seguro o en una   Sitio web autenticado al navegar en un sitio web de compras. Eso hizo   Me pregunto si había alguna diferencia entre asegurado y   autentificado.

Supongo que esta es una pregunta 'trampa'. Los dos abordan dos propósitos diferentes:

" sitio web autenticado": el sitio web sabe que el usuario correcto está comprando.

"sitio web seguro": el usuario sabe que está comprando en el sitio web correcto.

Actualización:
En mi humilde opinión, el término "sitio web auténtico" no se usa comúnmente en Seguridad de la información, a menos que lo coloques en un contexto específico.
Dicho esto, la única diferencia entre el sitio web "auténtico" y un sitio web seguro es que el primero tiene el certificado SSL emitido por una Autoridad de certificación (CA) confiable, CA

    
respondido por el elsadek 09.12.2016 - 18:57
fuente

Lea otras preguntas en las etiquetas

Problemas técnicos de seguridad al ejecutar proactivamente una campaña de phishing dirigida a sus propios usuarios ¿Se puede revocar un RootCA?