¿Por qué el uso de HTTPS es tan poco frecuente a nivel internacional (Asia)?

Question

¿Por qué el uso de HTTPS es tan poco frecuente a nivel internacional (Asia)?

#1 de billc.cn (1 votos)
#2 de blfoleyus (0 votos)

6

Recientemente, tuve el privilegio de viajar un poco al mundo y noté que (especialmente en Asia) el HTTPS se usa con poca frecuencia, incluso en sitios web gubernamentales y educativos donde los usuarios inician sesión y proporcionan información confidencial. Hice algunas lecturas en Wikipedia acerca de la exportación de tecnologías de encriptación desde los EE. UU. Como un problema potencial, pero tenía la impresión de que las empresas de servicios públicos como OpenSSL eran prácticamente gratuitas para su uso en cualquier parte, y que las CA podían emitir certificados a cualquier país que no se consideró "inestable" o "en desacuerdo" con la ONU o los EE. UU. (no estoy seguro de los detalles sobre este). Sabiendo lo fácil que es para un atacante rastrear el tráfico HTTP en las redes WiFi, me sorprendió que estas instituciones no estuvieran protegiendo a sus usuarios al implementar HTTPS. Y sin la confirmación de la identidad, ni siquiera hay una garantía de que los usuarios estén en el lugar correcto, ya sea con WiFi o no.

Entonces, para cualquier persona con experiencia en temas de seguridad web internacional, ¿alguien sabe por qué no se usa HTTPS? ¿Hay algo más que sus usuarios estén haciendo para protegerse de los que estoy totalmente en la oscuridad?

tls international

pregunta Funktr0n 29.12.2014 - 21:57

fuente

2 respuestas

Lea otras preguntas en las etiquetas tls international

encontrar si se explotó el error de flash de 0 días (en una máquina en particular) Descripción del enrutamiento del firewall OpenWRT LuCI con VPN

score 1 · Answer 1

Yo diría que el bloqueo de EE. UU. y las diferencias culturales desempeñaron un papel importante, pero también hay un nivel innegable de descuido o falta de conciencia de seguridad.

Aunque el cifrado SSL de 40 bits ha estado disponible en Netscape desde aproximadamente 1995, muchos bancos extranjeros que fueron pioneros en los pagos en línea podrían no haberlo considerado lo suficientemente seguro. A menudo optaron por usar complementos del navegador para proporcionar un mejor cifrado. El más famoso es el sistema coreano SEED .

También existe una posibilidad cultural en la que a los asiáticos les gustan más formas de expresarse, por lo que las mejoras técnicas como emoticones, Flash y complementos / applets son potencialmente más aceptables. Debido a la competencia, si un banco está ofreciendo un complemento para asegurar las transacciones en línea, es probable que los otros sigan su ejemplo. Dado que los bancos están asumiendo las responsabilidades, los comerciantes potencialmente invierten menos en seguridad.

Sin embargo, esto no explica completamente por qué los sitios que no son de comercio electrónico no usan HTTPS. Es posible que buscaron en sus bancos las mejores prácticas de seguridad y notaron que HTTPS no estaba siendo utilizado. Tal vez la educación general sobre seguridad cibernética todavía no esté al nivel del mundo occidental. Tal vez hay menos ataques de alto perfil a las empresas asiáticas. Quizás el costo de obtener un certificado sea demasiado alto (con las tarifas y la traducción del distribuidor local) para las pequeñas y medianas empresas. Tal vez las leyes de privacidad sean débiles o inexistentes en ciertos países y las empresas no tienen nada que perder al no proporcionar cifrado. Tal vez porque el alojamiento es más caro en Asia (ves una gran cantidad de redireccionamiento de HTTP a HTTP).

La verdad es que nunca lo sabremos, pero cuando llegue el día en que la mayoría de los sitios web sean HTTPS, será difícil encontrar un sitio que no lo admita en cualquier parte del mundo.

score 0 · Answer 2

Muchos sitios simplemente descubren que pueden escapar sin usar uno. Se pueden utilizar varias justificaciones, una de ellas es que los certificados SSL pueden ser más difíciles de adquirir de fuentes confiables cuando están en el extranjero. Además, el tráfico de certificados de confianza no puede ser inspeccionado por cortafuegos nosy que no tienen acceso a la clave privada. Entonces, esos firewalls simplemente publicarán esos sitios en HTTP en lugar de HTTPS, de esta manera no hay una advertencia de certificado.