Il vantaggio di SSL (sicurezza) per il proprietario del sito web

Hai alcune buone domande e alcuni fraintendimenti. Proviamo a districarli.

I also have some idea about other benefits (e.g. speed benefits from HTTP/2).

Un altro importante: Search Engine Optimization da quando ricevi GooglePoints per avere TLS. (che tipo alimenta il punto che i webmaster hanno bisogno di incentivi esterni ...)

I suppose because I would also know that the client I'm transacting with is certified and information I send them is encrypted. ... But can't any client [sic] access my website with self-signed certs?

Sì e no, e sì, ... e no. Cerchiamo di districarlo.

L'autenticazione del client TLS (che richiede ai clienti di presentare certificati) è qualcosa che di solito si vede sui server VPN, sui punti di accesso WiFi WPA2 aziendali e sulle intranet aziendali. Questi sono tutti i sistemi chiusi in cui l'amministratore di sistema ha il pieno controllo sui certificati di rilascio agli utenti, e lo usano per controllare quali utenti hanno accesso a quali risorse. Questo non ha senso in un sito Web pubblico ed è sicuramente una configurazione non standard per un server web HTTPS.

Detto questo, ciò che guadagni è questo:

Encrypted TLS session
| Client loads login page
| Client sends username / password
| Client does "logged in things"

In questo modo ottieni maggiore fiducia che l'utente è quello che dicono di essere, poiché il nome utente / la password non vengono più inviati in chiaro, quindi non è più possibile per un uomo-in-the-middle intercettare / modificare / rubare .

Dopo che uno qualsiasi dei dati che il client invia al server o ottiene dal server, è crittografato end-to-end al client. In genere hai ragione: questo protegge il client più del server, ma impedisce a man-in-the-middles di iniettare cose malevoli in file che l'utente carica, iniettando comandi malevoli da eseguire come se provenissero da quell'utente .

But can't any client act unethically and access my website with self-signed certs, etc., claiming to be whoever they like?

Kinda, sì. Per un sito Web pubblico, chiunque può aprire una connessione TLS. Se desideri che gli utenti eseguano l'autenticazione, è necessario disporre di un meccanismo di accesso, TLS in genere non lo fornisce per te (a meno che tu non stia utilizzando il meccanismo cert del client sopra indicato).

But something I was wondering recently was whether the website benefits in a similar way from this transaction.

In sostanza, i vantaggi per il server sono che tutti i dati inviati all'utente saranno visualizzati solo dall'utente desiderato. Se, ad esempio, stai inviando loro copie dei loro rendiconti finanziari, i tuoi avvocati saranno molto felici di sentirlo. Significa anche che tutti i dati ricevuti dall'utente sono in realtà provenire da quell'utente e non da un utente malintenzionato che finge di essere loro.

Se i tuoi utenti legittimi agiscono maliziosamente, beh, questo è un problema diverso, dopotutto, hai scelto per dare loro accesso al sistema. Ciò che TLS (+ il tuo framework di login) fa è garantire che solo utenti legittimi abbiano accesso. Quello che fanno con quell'accesso non è il problema di TLS.

Impedisce all'ISP di inserire i propri annunci al posto di il tuo. Se ti affidi alla pubblicità per le entrate, https ti aiuta a proteggere il tuo flusso di entrate.

Uno dei maggiori vantaggi per un operatore del sito è maggiore fiducia degli utenti ; spesso speriamo che controllino la presenza di HTTPS prima di inserire i dati della carta di credito in un sito di e-commerce, ad esempio, e il "blocco verde" di un certificato EV fornisce alcune verifiche aggiuntive che il sito web è gestito dall'entità che sostengono di essere .

Quanto è grande questo effetto, non lo so. Il progetto Stanford Web Credibility contiene una serie di consigli per rendere credibile un sito Web e HTTPS non appare su la lista. Tuttavia, i documenti citati ci sono tutti 15-20 anni a questo punto. Molto è cambiato in tecnologia, ma la vera domanda è quanto persone sono cambiate.

HTTPS protegge il trasporto solo contro lo sniffing o la modifica, ovvero contro un utente malintenzionato tra client e server ma non contro un utente malintenzionato sul server o sul client stesso. Non rende magicamente più sicuro il server stesso né rende il client più affidabile per il server. Ciò significa che un server protetto HTTPS può ad esempio servire malware e un client che si collega con HTTPS può ancora sfruttare problemi di sicurezza sul lato server come SQL injection o simili.

Molti browser (Firefox lo fa in modo molto evidente) avvisano gli utenti che non inseriscono le loro password su siti Web non protetti. I proprietari di siti Web non vogliono che i loro utenti vedano questo grande avvertimento spaventoso (che, nel caso di Firefox, rende anche i dettagli di accesso automaticamente compilati difficili da usare), e la protezione dei loro siti è l'unico modo per sbarazzarsene.

Quindi, se il sito Web consente agli utenti di accedere, vi è un strong incentivo per aggiungere sicurezza. Questo è un incentivo esterno, forzato dai venditori di browser.

Una configurazione SSL standard non offre alcun vantaggio di sicurezza per il server. Loro sanno che il loro traffico due e dall'endpoint che ha fatto la richiesta crittografata non è stato manipolato in transito, ma non ci sono garanzie che l'endpoint che ha fatto la richiesta non serva come un MITM.

È possibile configurare SSL in modo tale da poter validare i client. La maggior parte dei server Web (Apache, nginx, IIS, ecc.) Consente di configurare autenticazioni basate su certificati client, il che significa che ogni client che accede al sito Web avrà un proprio certificato univoco e il server Web non servirà le pagine a nessun client che non ha un certificato valido. La distribuzione e la manutenzione dei certificati client è una grande quantità di spese generali, pertanto questo tipo di installazione viene solitamente eseguita solo in ambienti con un numero limitato di client, ad esempio app Intranet, API con un numero ridotto di utenti, ecc.

Buone risposte finora voglio solo aggiungere:

Non tutti i TLS (SLL precedenti) hanno lo stesso livello di sicurezza, quindi è bene verificarlo con link .

E TLSv3 ha alcune vulnerabilità che richiedono di disabilitare la configurazione del server.

Non dirò che TLS è a prova di proiettile contro MitM poiché sappiamo che ssl stripping e bypass HSTS sono possibili ma rende molto più difficile per un utente malintenzionato farlo in quanto ha bisogno di trovarsi nella stessa rete dell'utente.

Il vantaggio maggiore accanto alla comunicazione sicura è il miglior posizionamento di Google SEO dato che i siti web con TLS diventano più facili in alto come indicato qui link .

Quindi, come azienda, l'utente finale quando vede il lucchetto nel browser ha un sentimento più sicuro, so che è un po 'stupido quando ho impostato molti siti Web statici con TLS / HTTPS in cui nessun dato stava passando dal server o al server ma per ragioni di SEO e per l'esperienza dell'utente finale.

Per giocare a favore del diavolo qui, abilitare TLS nel server web se non ne hai bisogno (ovvero non vengono trasmesse informazioni sensibili tra server e client) potrebbe ridurre la sicurezza .

Per la semplice ragione: aggiunge molto più codice, e più codice significa più bug e superficie di attacco più grande. Quindi potresti avere problemi come Heartbleed , l'esecuzione di codice in modalità remota e altri problemi che altrimenti non avresti.

Ovviamente, il problema è discutibile - c'è un modo abbastanza sicuro in cui molti bug in qualunque codice eseguono il tuo web dinamico rispetto alla libreria TLS del tuo server web, quindi a meno che tu non stia utilizzando un server HTTP controllato molto piccolo con solo contenuto statico, il la riduzione della sicurezza è probabilmente trascurabile.

E HTTPS (oltre ad essere un buon SEO per google e amici) potrebbe proteggerti da alcuni mali come MitM attacchi (quindi di nuovo, a causa di errori con il modello di CA HTTPS, è soprattutto "sentirsi bene" "sicurezza" poiché si è costretti a "fidarsi" di dozzine di CA che hai assolutamente nessun motivo per fidarsi di qualsiasi cosa )

Il vantaggio per il proprietario del sito web? I loro utenti sono più sicuri. Non c'è alcun vantaggio reale per i proprietari di siti Web diverso da quello, ed è per questo che molti siti Web non dispongono ancora di HTTPS / SSL (poiché l'impostazione di HTTP / SSL richiede effettivamente lavoro che il proprietario del sito Web non vede alcun beneficio diretto da).

Mantenere gli utenti al sicuro dovrebbe essere la priorità più importante per i proprietari dei siti web, ma sfortunatamente spesso non lo è.

SSL garantisce che le persone non possano (facilmente) fingere di essere te stesso. Questo è un vantaggio. Inoltre, se hai a che fare con informazioni personali identificative (PII), SSL offre una sicurezza aggiuntiva, che aiuta a prevenire l'imbarazzo di qualcuno che ruba le informazioni dei tuoi clienti. In molti Paesi, sei legalmente obbligato a prendere provvedimenti per proteggere le PII dei tuoi clienti, e SSL è uno dei modi in cui puoi farlo.

Se desideri che il tuo sito web venga trovato tramite Google, SSL ha il vantaggio aggiuntivo che ti mette più in alto nei risultati di ricerca , anche se solo leggermente.

Come altri hanno sottolineato, SSL (o TLS) aumenta la fiducia con i tuoi utenti .

Unbounce ha citato questo in un articolo del blog recente :

As GlobalSign, a web-trust certificate provider discovered, 84% of website visitors surveyed said they would abandon a purchase if they knew the data was going to be sent over an insecure connection.

In effetti, questo ora influisce più direttamente sugli imprenditori: Google Chrome è stato avviato contrassegnare i siti non SSL come "non sicuro" .

SSL / TLS riduce la responsabilità nei confronti del proprietario del sito . Il traffico non è facilmente falsificato o intercettato. I tuoi clienti più litigiosi non avranno motivo di denunciarti per negligenza.

Ottieni una spinta SEO nei principali motori di ricerca , compreso Google. Vedi link

Non costa molto . Con provider come letsencrypt e gestore dei certificati AWS , i certificati SSL / TLS gratuiti sono più facili che mai da configurare