C'è un vantaggio di sicurezza da collegare su HTTPS se il certificato non è valido?

Naviga le tue risposte
6

TL; DR: C'è qualche differenza tra un autentico e un sito protetto ? Più precisamente, se il certificato non è valido?

è possibile usufruire di un vantaggio di sicurezza per connettersi a un sito Web tramite HTTPS?

Dopo un test che ho fatto oggi dove ci è stato chiesto se fosse meglio essere su un sito web protetto o su un sito web autentico durante la navigazione su un sito web di shopping, si chiedeva se ci fosse qualche differenza tra protetto e autentico .

IMO, per definizione, un autentico sito web ha per essere protetto, altrimenti qualsiasi autenticazione del sito Web sarebbe priva di significato.

Ma allora, è vero nell'altro modo? Un sito protetto necessariamente autenticato? Possiamo ancora considerare che stai usando HTTPS e che ci sia un vantaggio di sicurezza se il certificato non è valido?

Dalla mia comprensione personale, mentre una "connessione non autenticata protetta asimmetricamente" sarà meno sicura di una autenticata, c'è comunque il vantaggio che finché non si verifica un uomo nell'attacco centrale nessuno sarà in grado di decodificare ciò che è stato trasmesso, ho ragione?

    
posta Trevör Anne Denise 09.12.2016 - 18:36
fonte

3 risposte

9

In generale, sei corretto. Stai ancora connettendo tramite HTTPS, come hai ipotizzato. L'autenticazione, tuttavia, è in effetti una parte fondamentale della sicurezza TLS e HTTPS. Anche se i dati sono protetti da TLS, senza un certificato valido e corretto, non puoi essere certo con chi stai effettivamente parlando dall'altra parte. Potrebbe essere un server per il sito che ti aspetti. È molto difficile sapere, tuttavia, se in effetti potrebbe esserci un man-in-the-middle, invece, decrittando ed esaminando (e possibilmente manomettendo) il traffico in chiaro prima di ricodificarlo per inoltrare avanti e indietro tra di voi e il sito con cui pensi di parlare.

Quindi, anche se c'è sicuramente una possibilità che una connessione non autenticata possa ancora essere protetta, è piuttosto difficile da sapere, e nella maggior parte dei casi gli errori di un certificato saranno davvero un'indicazione che qualcosa non va nella connessione.

    
risposta data 09.12.2016 - 18:51
fonte
5

Sì. Anche se qualcuno potrebbe essere MitMing te, le altre persone sulla linea non riescono ancora a vedere cosa stai facendo. Ad esempio, puoi anche controllare manualmente la chiave pubblica per i certificati auto-rilasciati.

    
risposta data 09.12.2016 - 18:51
fonte
2

So, if you choose to continue, are you actually browsing with the http protocol ? Or the https protocol?

In effetti stai navigando sul sito web usando https, è solo l'emittente del certificato SSL di cui il browser non si fida.

I was asking myself this question following a test I had today where we was asked if it was better to be on a secured website or on an authentificated website when browsing on a shopping website. That made me wonder if there was any difference between secured and authentificated.

Suppongo che questa sia una domanda "trap". I due indirizzi hanno due scopi diversi:

" sito web autenticato": il sito web sa che l'utente giusto fa shopping.

"sito web sicuro": l'utente sa che sta acquistando sul sito web giusto.

Aggiornamento:
A mio modesto parere, il termine "sito web autentico" non è comunemente usato in Information Security, a meno che non lo si inserisca in un contesto specifico.
Detto questo, l'unica differenza tra il sito web "autentico" e un sito Web protetto è che il primo ha il certificato SSL rilasciato da un'autorità di certificazione (CA) attendibile, CA

    
risposta data 09.12.2016 - 18:57
fonte

Leggi altre domande sui tag

Può (e dovrebbe) TLS essere severo riguardo alle cifre che supporta? In realtà, non è male reindirizzare http a https? [duplicare]