SSL sta morendo? Dovrei acquistare di più i certificati SSL per i miei siti?

Tutti tranne il terzo collegamento si riferiscono a SSLv3 (versione 3) che è interessato dalla vulnerabilità del barboncino. Dovresti utilizzare il protocollo TLS che è il successore di SSL e non interessato. Dovresti configurare il tuo server web per supportare TLS 1.0, 1.1 e 1.2, che dovrebbe coprire la maggior parte dei dispositivi, ad eccezione di alcuni arcaici come IE6.0, pur rimanendo al sicuro. Il certificato utilizzato per entrambi i protocolli è lo stesso.

La maggior parte dei siti web di mass media si riferisce a TLS / SSL come semplicemente SSL. In realtà sono due protocolli separati.

Maggiori informazioni qui: Qual è la differenza tra SSL, TLS e HTTPS?

Come per il terzo link, si riferisce a IPv6 che supporta SSL. La mia opinione è che ci vorranno almeno qualche anno in più affinché IPv6 diventi lo schema di riferimento de facto. Nel frattempo, un certificato SSL proteggerà il tuo sito. Dopotutto, puoi comprare un certificato per 1-2 anni se temi che diventerà obsoleto nel prossimo futuro.

Stai incontrando un po 'di confusione terminologica. SSL può significare due cose:

1. Il protocollo Secure Sockets Layer , versioni 1, 2, o 3.

2. La SSL / TLS famiglia di protocolli di sicurezza generica

La definizione 1 di SSL è completamente obsoleta e non dovrebbe essere utilizzata. La definizione SSL 2 è ancora molto viva, con i buoni elementi della definizione SSL 1 (come gran parte del meccanismo dei certificati) incorporati nei moderni standard TLS.

Infosec Island: IPv6 - The Death of SSL

L'articolo parla dell'uso di IPSec come parte integrante di IPv6 invece di SSL / TLS. IPSec sposta principalmente la crittografia dal livello applicazione al livello di trasporto.

Ma il problema principale con SSL / TLS non sono difetti nel protocollo o nel codice crittografico. Invece il problema principale è la PKI, ovvero l'uso corretto di certificati e CA per creare e propagare la fiducia e quindi fornire autenticazione affidabile. IPSec non ha miglioramenti in quest'area. Anche se IPSec verrà utilizzato ovunque, probabilmente utilizzerà lo stesso PKI danneggiato già utilizzato con SSL / TLS. E i certificati sono necessari in entrambi i casi.

Oltre alle altre buone risposte sulla confusione tra SSL e TLS vs certificato, la domanda se continuare a "comprare" un certificato SSL potrebbe essere influenzata dal prossimo lancio di Let's Encrypt (sponsorizzato da EFF, Mozilla, et al), che inizierà a offrire certificati SSL gratuiti e chiavi in mano nel 2015.

Se non hai bisogno di un certificato di fantasia (EV, carattere jolly e così via, che Let's Encrypt potrebbe non essere necessariamente in grado di fornire), sarai in grado di utilizzare i loro certificati sul tuo sito senza dover pagare un centesimo.

Sebbene esistano già altre CA che offrono certificati gratuiti (con Startcom come uno degli esempi più noti), credo che Let's Encrypt sarà il primo giocatore importante a estendere un'offerta gratuita anche ai siti commerciali.