Tenía un certificado SSL en mi sitio, pero aún así ha sido pirateado ... ¿cómo evitar que esto suceda?

Un certificado SSL protege a los usuarios de su sitio para que sus comunicaciones sean interceptadas por un tercero. Creo que es probable que cuando dices que tu sitio fue pirateado, esto no es de lo que estás hablando. Un certificado SSL no valida el contenido de su sitio, ni impide que alguien acceda a él como está previsto o no. Los controles para estos están fuera del ámbito de SSL.

No existe ninguna garantía con respecto a los certificados SSL que no sea una posible responsabilidad civil. A menos que su certificado haya sido comprometido por las acciones del emisor, usted no tiene ningún caso en su contra y no está implícita ninguna garantía.

En cuanto a descubrir qué era inseguro acerca de su sitio, cómo se vio comprometido o qué debe abordarse para solucionarlo, debe realizar un análisis forense en su máquina comprometida. También puede estar en orden una revisión del código del sitio web para el sitio en cuestión.

Los certificados SSL no hacen nada para evitar que su sitio sea hackeado, por lo que no podrá reclamar una compensación. Si se implementan correctamente, evitan que el tráfico de sus usuarios sea interceptado por terceros, que no es lo mismo en absoluto.

Para evitar que su sitio sea pirateado nuevamente, debe emplear o convertirse en un experto en seguridad de Internet, no hay otra manera. Hay tantas formas diferentes de que su sitio pueda ser vulnerable que ni siquiera podría comenzar a enumerarlas todas aquí.

Nunca he oído hablar de una garantía de certificados SSL, y aun así, no sería que su sitio no fuera objeto de ruptura: sería una garantía con respecto al enlace entre su servidor y la computadora de su usuario.

Puede estar pensando en los logotipos "verificados por XXX" (ridículos) que ve en los sitios web. Están destinadas a dar a los visitantes la confianza de que el sitio es realmente seguro, pero, nuevamente, no funcionan como una afirmación de que nadie puede ingresar a su sitio, sino más bien una indicación de que el sitio utiliza SSL para proteger las comunicaciones.

Hay otros logos por ahí que a veces aparecen en sitios web, a veces de las mismas compañías que venden certificados, que pretenden hablar de la seguridad del sitio en sí, pero aún así no he oído hablar de ninguno de ellos que justifique que reclamo Lejos de ello, por lo general, casi todos insertan exenciones de responsabilidad gigantescas en sus acuerdos de licencia.

Digamos que tiene SSL, pero un sistema operativo desactualizado, contraseñas deficientes, la red de su casa / trabajo está comprometida, no solo por usted, sino por otros que también la utilizan. ¿Cómo puede ser seguro su servidor?

Hay tantos caminos técnicos que un tipo malintencionado puede intentar, e ingeniería social. Un certificado SSL solo puede proteger la comunicación evitando que se transmita como texto sin formato y verificando si las partes son quienes afirman ser. Es lo mismo que decirle al usuario: "Su información será transmitida por una organización verificada encerrada en una casilla con una tecla para bloquear y otra para abrir. Sólo usted y yo tenemos las claves".

Pero esto no significa que nadie podrá explotar esa clave durante la transmisión. Por ejemplo, el atacante puede invalidar la transmisión HTTPS incluso antes de que el usuario tome nota, lo que obliga a que la información se transmita como texto sin formato (por ejemplo, sslstrip ).

En segundo lugar, digamos que todo está bien, pero usted creó su página con Wordpress o Joomla, por ejemplo, con complementos de sensaciones. Si no tiene la persona adecuada para revisar su código, es solo una cuestión de tiempo para que alguien entre en él, ya que los exploits para aplicaciones y complementos creados por esas organizaciones y sus usuarios aparecen todos los días en bases de datos de exploits.

Solo un ejemplo, lo mismo se puede hacer en aplicaciones internas, incluso con herramientas automatizadas.

SSL es solo la punta del iceberg.