¿Qué tan arriesgado es no instalar ssl?

Sin SSL, los datos de los usuarios se transmiten a través del cable sin cifrar. ¿Es ese un riesgo aceptable?

Todos aquí están usando un foro de discusión que no usa SSL (y SE no es único en este sentido; por ejemplo, reddit no usa SSL) ¹ . EDITAR 2017 : stackexchange y reddit ahora usan SSL a diferencia de cuando esta respuesta se escribió en 2013

Un interlocutor de red entre mi computadora y los servidores de stackexchange (por ejemplo, otros usuarios del mismo punto de acceso wifi, o en mi ISP, o administradores de red en mi trabajo) podría robar mis cookies de autenticación o modificar mis mensajes y obtener acceso completo a mi cuenta de stackexchange. Prefiero que no suceda, así que no uso stackexchange en wifi pública y confío en que mi ISP no robará ni usará mal la información secreta de los usuarios.

Por supuesto, este es un riesgo que estoy dispuesto a asumir. Si bien alguien capturó mi cuenta de stackexchange (temporalmente hasta que expiren las cookies de mi sesión), no capturaría mucha información y la mayoría de sus acciones podrían deshacerse más tarde (por ejemplo, cualquier edición se puede revertir).

Además, no equipares SSL en VPS con total privacidad. Aún debe confiar intrínsecamente en su host VPS, que puede tomar fácilmente su certificado SSL privado de su máquina virtual (está en un archivo en su disco) y luego descifrar todo el tráfico entrante. Dudo que la mayoría de los proveedores de VPS de buena reputación lo hicieran , pero definitivamente podrían.

¹ Bueno, stackexchange le permite autenticarse a través de un proveedor de OpenID como google / facebook / yahoo / etc, y esos proveedores usarán una conexión https (al menos todos los que verifiqué) para que la contraseña se envíe cifrada . Tienen una opción de "inicio de sesión con stackexchange" que lo dirige a una página http que usa javascript, por lo que el envío del formulario con la contraseña debe transmitirse encriptado (utilizando SSL). Por supuesto, sería trivial lanzar un ataque MitM en esto, ya que la conexión https no es evidente para el usuario. Y nuevamente, aunque el atacante no puede capturar su contraseña, luego puede tomar la cookie de sesión para que aparezca como una versión autenticada de usted.

De forma similar, para reddit.com, ellos (de forma secreta) usan SSL para la acción de formulario, pero como el formulario se aloja en una página no ssl, es fácil para un atacante lanzar un ataque MitM y capturar su contraseña. Por supuesto, reddit.com tiene una versión SSL con una CA debidamente firmada, pero este sitio no se encuentra en su CDN y solo debe utilizarse. por los anunciantes / personas que realizan transacciones con tarjeta de crédito en este momento.

Sin SSL, todo lo que se envía a través de los cables puede potencialmente ser espiado o alterado por enrutadores poco delicados. "Alterado" incluye el secuestro hostil de conexiones y los ataques Man-in-the-Middle . Estos son relativamente fáciles de configurar por los atacantes en el contexto de puntos de acceso WiFi, lo que significa que si un usuario accede a su sitio web desde un restaurante o un parque público (usando su computadora portátil o tableta), entonces sus datos (en particular, contraseñas y cookies) pueden ser escuchados silenciosamente por personas malintencionadas equipadas con un gadget de 100 $ disponible .

Por otra parte, no solo las conexiones no SSL son fácilmente controladas por personas externas hostiles, sino que la gente comienza a saberlo. Cuando sus usuarios ven que usa contraseñas sin SSL, algunos de ellos pensarán que "no le importa su seguridad". Eso solo no es algo bueno. Desea que sus usuarios se sientan seguros seguros, de lo contrario, estarán tentados de no ser más sus usuarios.

Los costos de SSL se exageran rutinariamente, por razones que no están del todo claras (hay alguna teoría sobre el tema):

• En el servidor: la CPU adicional y la sobrecarga de red que implica SSL está en el rango del 2%, es decir, no mucho. El mayor costo indirecto es que SSL evita que algunos proxies transparentes (ejecutados por algún ISP) realicen su optimización; podría tener algún impacto si su servidor alberga grandes archivos estáticos. El costo del certificado puede ser cero , o, más precisamente, sin comprar el cargo , y algunos cargos administrativos Tarea una vez al año. Incluso en contextos comerciales, el costo del certificado es insignificante con respecto a los costos de hospedaje y el tiempo del administrador del sistema.

• En el cliente: el efecto principal es una mayor latencia para la primera conexión . Al abrir la primera conexión, el cliente y el servidor ejecutan el protocolo de enlace TLS completo. Pero la conexión se mantendrá abierta para solicitudes HTTP posteriores (el mecanismo normal de "mantener vivo"), y si la conexión se cierra debido a una inactividad prolongada, las nuevas conexiones utilizarán el abreviatura de protocolo que reutiliza el criptográfico Elementos de la conexión anterior. El apretón de manos abreviado es mucho más rápido, especialmente porque implica un viaje de ida y vuelta menos a la red.

Nada supera la medida real, por lo que le recomendamos que experimente, aunque solo sea con un certificado hecho en casa (también conocido como "autofirmado"); pero, en general, SSL no puede considerarse realmente caro (hace solía ser , hace 15 años, pero las computadoras han crecido un poco en potencia computacional desde estos tiempos).

Sin SSL, será trivial tomar las cuentas de usuario mediante un ataque MITM . Todos los nombres de usuario y contraseñas se envían en texto claro, lo que hace que sea muy fácil de detectar. Esto tiene consecuencias indirectas bastante graves si los usuarios reutilizan la misma combinación de nombre de usuario y contraseña en múltiples sitios.

Hay muchos otros ataques si SSL no está activado, pero creo que esto es lo suficientemente simple y severo para ilustrar el punto.

Un efecto más indirecto de SSL (o un certificado SSL válido más bien), es que el candado en el navegador inspira confianza en los usuarios. Es bastante difícil explicar a los usuarios no técnicos las razones de SSL. Es un poco más fácil entrenarlos para asociar el candado verde con un sitio seguro. No tener el mismo candado podría hacer que los usuarios cuestionen (con razón) la seguridad de su sitio.

Si el costo es un problema, hay bastantes proveedores de certificados SSL gratuitos, como StartSSL . Tenga en cuenta que nunca antes he probado sus servicios, por lo que no puedo responder por su fiabilidad.

  

es bastante costoso en comparación con alquilar un vps

Esto me sorprendió: una comprobación rápida en Internet y un certificado básico (solo sitio, no EV, pero cadena reconocida) se puede obtener por menos de una décima parte del precio del alojamiento de VPS de gama baja.

  

¿Cuáles serían los argumentos para adquirir ssl en esta situación

Usted tiene el deber de cuidar a sus clientes, incluso si no comprenden la relevancia o el mérito técnico. La mayoría de las personas usan la misma contraseña (y nombre de usuario) en múltiples servicios. Por lo tanto, al no usar SSL, usted está exponiendo potencialmente esta información.

Sí, SSL perjudica el rendimiento (mucho).

Aunque solo ejecutar la autenticación a través de HTTPS evitaría el problema de rendimiento, todavía existe el riesgo de que la sesión se apague: un impostor puede publicar un comentario difamatorio que parece provenir de otra persona. Aunque existen otros enfoques de mitigación de riesgos para esto (términos y condiciones, publicación de políticas de eliminación, etc.).

La razón por la que desearía usar SSL para cifrar el tráfico a su sitio es proteger la información y la integridad de los usuarios y, a cambio, le dará más validez al sitio al tener una mejor reputación.

Es obvio lo que está mal con los usuarios que obtienen información, como información del banco o de la tarjeta de crédito, pero hay algunas cosas menos obvias que también se transmiten y que usted querría mantener seguro. Obtener la dirección de correo electrónico de alguien no solo permite que alguien le envíe correo no deseado, también le permite a un atacante rastrear cuentas en múltiples sitios web no afiliados y hace que el usuario sea susceptible a ataques de APT dirigidos. Obtener el número de teléfono o la dirección de una persona puede llevar a un fraude de identidad y el riesgo de caerse es aún mayor porque ahora conoce algunos de los intereses de los objetivos (casi fui víctima de ello hace un par de semanas porque alguien tenía mi número de teléfono, una discrepancia) de mi dirección actual y antigua, y sabía que quería FIOS en mi ciudad).

Luego está el nombre de usuario y la contraseña. Al igual que un correo electrónico, un nombre de usuario puede ayudar a un atacante a rastrear las cuentas en múltiples sitios, pero también podría permitir que los atacantes representen su objetivo en otros sitios (está bien, esto es un tramo ya que los nombres de usuario generalmente se muestran cuando se publica algo en, por ejemplo, un foro). Las contraseñas son, por supuesto, la peor parte, posiblemente incluso peor que las propias tarjetas de crédito. Muchas personas reutilizan su contraseña en varios sitios, incluso los más importantes. Alguien puede obtener una contraseña de usuario de su sitio, obtener acceso a su correo electrónico debido a esa contraseña y luego cargar decenas de miles de dólares en varias tarjetas de crédito, tarjetas de débito y cuentas corrientes en Amazon porque ahora tienen acceso a la cuenta de correo electrónico de los usuarios. . Todo esto porque usted (sus clientes) no quiso gastar unos pocos dólares adicionales por un certificado ssl (o incluso obtenerlo sin costo).

Luego está la parte de integridad. Si los atacantes (principalmente los que envían correo no deseado) pueden obtener acceso a sus cuentas de usuario, pueden publicar correo no deseado (o incluso lanzar ataques de identidad contra otros usuarios) en todo su sitio, lo que hará que pierda reputación entre los visitantes y elimine cualquier clasificación de Google. Simplemente no podría prohibir estos usuarios / comentarios porque provienen de cuentas existentes, por lo que estaría prohibiendo los usuarios reales porque no pudo crear un sitio seguro.