Quanto è rischioso installare ssl?

Senza SSL, i dati degli utenti vengono trasmessi senza fili in chiaro. È un rischio accettabile?

Tutti qui utilizzano un forum di discussione che non usa SSL (e SE non è univoco a questo riguardo, ad esempio, reddit non usa SSL) ¹ . EDIT 2017 : stackexchange e reddit ora entrambi usano SSL a differenza di quando questa risposta è stata scritta nel 2013

Una rete intercettatrice tra il mio computer ei server di stackexchange (ad esempio, altri utenti dello stesso punto di accesso Wi-Fi o presso il mio ISP o amministratori di rete sul mio lavoro) potrebbe rubare i miei cookie di autenticazione o modificare i miei messaggi e ottenere pieno accesso a il mio account stackexchange. Preferirei che non succedesse, quindi non uso stackexchange sul wifi pubblico e credo che il mio ISP non rubi e usi impropriamente le informazioni segrete degli utenti.

Certo, questo è un rischio che sono disposto a prendere. Mentre qualcuno acquisisce il mio account stackexchange (temporaneamente fino alla scadenza dei cookie di sessione), non acquisisce molte informazioni e la maggior parte delle loro azioni potrebbe essere successivamente annullata (ad esempio, eventuali modifiche possono essere ripristinate).

Inoltre, non equiparare SSL su VPS con piena privacy. Devi comunque fidarti intrinsecamente del tuo host VPS, che può facilmente prendere il tuo certificato SSL privato dalla tua VM (si trova su un file sul loro disco) e quindi decrittografare tutto il tuo traffico in entrata. Dubito che i provider di VPS più rispettabili lo farebbero , ma sicuramente potrebbero farlo

¹ Beh, stackexchange ti permette di autenticarti tramite un provider OpenID come google / facebook / yahoo / etc, e questi provider utilizzeranno una connessione https (almeno tutti quelli che ho controllato) così la password verrà inviata criptata . Hanno un'opzione "login con stackexchange" che ti indirizza a una pagina http che utilizza javascript, quindi l'invio del modulo con la password deve essere trasmesso crittografato (usando SSL). Certo, sarebbe banale lanciare un attacco MitM su questo, poiché la connessione https non è prontamente evidente per l'utente. E ancora, mentre l'attaccante non può prendere la tua password, può in seguito prendere il cookie di sessione in modo che appaia come una versione autenticata di te.

Analogamente per reddit.com, (in segreto) usano SSL per l'azione modulo, ma poiché il modulo è ospitato su una pagina non -sl è facile per un utente malintenzionato lanciare un attacco MitM e acquisire la password. Garantito reddit.com ha una versione SSL con una CA correttamente firmata, ma questo sito non è sul loro CDN e deve essere utilizzato solo da inserzionisti / persone che effettuano transazioni con carta di credito al momento.

Senza SSL, tutto ciò che viene inviato sui fili può potenzialmente essere spiato o alterato da router indelicate. "Altered" include il dirottamento ostile delle connessioni e gli attacchi Man-in-the-Middle . Questi sono relativamente facili da configurare dagli aggressori nel contesto degli hotspot WiFi, il che significa che se un utente accede al tuo sito Web da un ristorante o da un parco pubblico (utilizzando il suo laptop o tablet), i suoi dati (in particolare password e cookie ) può essere silenziosamente intercettato da persone malintenzionate dotate di un gadget 100 $ prontamente disponibile .

Inoltre, non solo le connessioni non SSL sono facilmente requisite da estranei ostili, ma le persone iniziano a conoscerlo. Quando i tuoi utenti vedono che usi password senza SSL, alcuni di loro penseranno che "non ti importa della loro sicurezza". Questo da solo non è una buona cosa. Vuoi che i tuoi utenti si sentano al sicuro, altrimenti saranno tentati di non essere più i tuoi utenti.

I costi SSL sono normalmente esagerati, per ragioni che non sono completamente chiare (c'è qualche teoria sull'argomento):

• Sul server: l'overhead aggiuntivo di CPU e rete implicito da SSL è compreso nell'intervallo del 2%, vale a dire non molto. Il più grande costo indiretto è che SSL impedisce ad alcuni proxy trasparenti (gestiti da alcuni ISP) di fare la loro ottimizzazione; potrebbe avere un impatto se il tuo server ospita file statici di grandi dimensioni. Il costo del certificato può essere zero - o, più precisamente, nessun acquisto costo , e alcuni costi amministrativi compito una volta all'anno. Anche in contesti commerciali, il costo del certificato è trascurabile per quanto riguarda i costi di hosting e il tempo di sysadmin.

• Sul client: l'effetto principale è la latenza aumentata per la primissima connessione . Quando si apre la prima connessione, client e server eseguono l'handshake TLS completo. Ma la connessione verrà mantenuta aperta per le successive richieste HTTP (il normale meccanismo "keep alive"), e se la connessione viene chiusa a causa di una prolungata inattività, le nuove connessioni useranno il handshake abbreviato che riutilizza la crittografia elementi dalla connessione precedente. la stretta di mano abbreviata è molto più veloce, soprattutto perché implica un giro di rete in meno.

Niente batte la misura attuale, quindi sei incoraggiato a sperimentare, anche se solo con un certificato fatto in casa (detto anche "autofirmato"); ma, nel complesso, SSL non può essere considerato come molto costoso (era usato costoso, 15 anni fa, ma i computer sono cresciuti un po 'in potenza computazionale da questi tempi).

Senza SSL, sarà banale riprendere gli account utente tramite un attacco MITM . Tutti i nomi utente e le password vengono inviati in testo non crittografato, facilitando l'individuazione. Ciò ha conseguenze indirette piuttosto gravi se gli utenti riutilizzano la stessa combinazione nome utente / password su più siti.

Ci sono molti altri attacchi se SSL non è attivato, ma ritengo che sia semplice e abbastanza severo per illustrare il punto.

Un effetto più indiretto di SSL (o un certificato SSL valido piuttosto), è che il lucchetto sul browser ispira fiducia negli utenti. È piuttosto difficile spiegare agli utenti non tecnici le ragioni per SSL. È leggermente più facile addestrarli ad associare il lucchetto verde a un sito sicuro. Non avere lo stesso lucchetto potrebbe portare gli utenti a interrogare (giustamente), la sicurezza del tuo sito.

Se il costo è un problema, ci sono alcuni provider di certificati SSL gratuiti, come StartSSL . Nota che non ho mai provato i loro servizi prima quindi non sono in grado di garantire la loro affidabilità.

is quite costly compared to renting a vps

Questo mi ha sorpreso - un rapido controllo su Internet e un certificato di base (sito singolo, nessuna EV, ma catena ricondizionata) può essere ottenuto per meno di un decimo del prezzo dell'hosting VPS di fascia bassa.

What would be the arguments for acquiring ssl in this situation

Hai un dovere di diligenza nei confronti dei tuoi clienti, anche se non comprendono la pertinenza / il merito tecnico. La maggior parte delle persone usa la stessa password (e username) su più servizi. Quindi non usando SSL stai esponendo potenzialmente queste informazioni.

Sì, SSL fa male le prestazioni (molto).

Anche se l'esecuzione dell'autenticazione su HTTPS eviterebbe il problema di prestazioni, sussiste comunque il rischio di subire un cambio di sessione: un impostore potrebbe pubblicare un commento diffamatorio che sembra provenire da qualcun altro. Sebbene ci siano altri approcci di mitigazione del rischio per questo (termini e condizioni, pubblicazione di politiche di rimozione, ecc.)

Il motivo per cui desideri utilizzare SSL per crittografare il traffico sul tuo sito è proteggere i dati degli utenti e l'integrità e in cambio darà al sito più validità avendo una reputazione migliore.

È ovvio che cosa c'è di sbagliato con gli utenti che ricevono dati come le informazioni bancarie o della carta di credito, ma ci sono anche alcune cose meno ovvie che vengono trasmesse e che si vorrebbe mantenere al sicuro. Ottenere l'indirizzo e-mail di qualcuno non solo consente a qualcuno di inviarti spam, ma consente a un utente malintenzionato di tracciare account su più siti Web non affiliati e rende l'utente suscettibile agli attacchi APT mirati. Ottenere il numero di telefono o l'indirizzo di qualcuno può portare a frodi sull'identità e il rischio di crollare è ancora maggiore perché ora conosci alcuni degli obiettivi (sono quasi caduto vittima un paio di settimane fa perché qualcuno aveva il mio numero di telefono, una mancata corrispondenza del mio attuale indirizzo e vecchio indirizzo, e sapevo che volevo FIOS nella mia città).

Poi c'è il nome utente e la password. Come una e-mail, un nome utente può aiutare un utente malintenzionato a tracciare account su più siti, ma potrebbe anche consentire agli autori di attacchi di porsi come destinazione su altri siti (ok, quindi è un tratto dal momento che i nomi degli utenti vengono solitamente visualizzati quando si pubblica qualcosa su un forum). Le password sono ovviamente la parte peggiore, forse anche peggiore delle carte di credito stesse. Molte persone riutilizzano la propria password su più siti, anche quelli importanti. Qualcuno potrebbe ottenere una password utente dal tuo sito, ottenere l'accesso alla sua email a causa di quella password e quindi ricaricare decine di migliaia di dollari su più carte di credito, carte di debito e conti correnti su Amazon perché ora hanno accesso all'account email degli utenti . Tutto questo perché tu (i tuoi clienti) non volevi spendere qualche dollaro in più per un certificato SSL (o anche ottenerlo gratuitamente).

Poi c'è la parte dell'integrità. Se gli utenti malintenzionati (principalmente gli spammer) possono accedere agli account degli utenti, possono inviare spam (o persino lanciare attacchi di identità contro altri utenti) in tutto il sito, causando la perdita della reputazione tra i visitatori e l'eliminazione di qualsiasi classifica di google. Non saresti semplicemente in grado di vietare questi utenti / commenti perché provengono da account esistenti in modo da vietare gli utenti reali perché non potresti creare un sito sicuro.