Avevo il certificato SSL sul mio sito ma ancora è stato violato ... come impedire che ciò accada?

Un certificato SSL protegge gli utenti del tuo sito dall'intercettazione delle loro comunicazioni da parte di una terza parte. Penso che sia probabile che quando dici che il tuo sito è stato violato, questo non è ciò di cui stai parlando. Un certificato SSL non convalida il contenuto del tuo sito, né impedisce a nessuno di accedervi come previsto o altrimenti. I controlli per questi sono al di fuori del regno di SSL.

Non ci sono garanzie per quanto riguarda i certificati SSL diversi dalla potenziale responsabilità civile. A meno che il tuo stesso certificato non sia stato compromesso da azioni dell'emittente, non hai alcuna causa contro di loro e nessuna garanzia è implicita.

Per capire che cosa era insicuro sul tuo sito, come sei stato compromesso o che cosa deve essere indirizzato per risolverlo, devi eseguire analisi forensi sul tuo computer compromesso. Anche una revisione del codice del sito Web per il sito in questione potrebbe essere in ordine.

I certificati SSL non fanno nulla per impedire che il tuo sito venga violato, quindi non potrai richiedere un risarcimento. Se implementati correttamente, impediscono che il traffico degli utenti venga intercettato da terze parti, il che non è affatto la stessa cosa.

Per impedire che il tuo sito venga nuovamente violato, è necessario assumere o diventare un esperto in sicurezza Internet: non c'è altro modo. Ci sono tanti modi diversi in cui il tuo sito potrebbe essere vulnerabile e non riuscirei nemmeno ad elencarli tutti qui.

Non ho mai sentito di una garanzia sui certificati SSL, e anche così, non sarebbe che il tuo sito non venga violato: sarebbe una garanzia riguardante il collegamento tra il tuo server e il computer dell'utente.

Potresti pensare a quelli (ridicoli) "verificati da XXX" che vedi sui siti web. Questi sono intesi a dare ai visitatori la certezza che il sito è effettivamente sicuro, ma, ancora una volta, non funzionano come un'asserzione secondo cui nessuno può entrare nel tuo sito, tanto quanto un'indicazione che il sito sta usando SSL per proteggere le comunicazioni.

Ci sono altri loghi là fuori che a volte appaiono su siti web, a volte dalle stesse aziende che vendono certificati, che pretendono di parlare alla sicurezza del sito stesso, ma anche così non ho sentito nessuno di loro che garantisce quella richiesta. Lontano da questo, di solito - quasi tutti inseriscono disclaimer giganteschi nei loro accordi di licenza.

Supponiamo che tu abbia SSL, ma un sistema operativo obsoleto, password scadenti, la tua rete casa / lavoro compromessa, non solo da te, ma anche da altri che ne fanno uso. Come può il tuo server essere sicuro?

Ci sono così tanti percorsi tecnici che un ragazzo malintenzionato può provare e l'ingegneria sociale da fare. Un certificato SSL, può solo proteggere la comunicazione impedendone la trasmissione come testo semplice e controllando se le parti sono quelle che affermano di essere. È la stessa opinione per l'utente: "Le tue informazioni saranno trasmesse da un'organizzazione verificata chiusa in una scatola con una chiave per bloccarla e un'altra da aprire. Solo tu ed io abbiamo le chiavi".

Ma questo non significa che nessuno sarà in grado di sfruttare quella chiave durante la trasmissione. Ad esempio, l'utente malintenzionato può invalidare la trasmissione HTTPS prima ancora che l'utente noti, forzando le informazioni a essere trasmesse come testo semplice (ad esempio sslstrip ).

In secondo luogo, diciamo che tutto è a posto, ma hai creato la tua pagina con Wordpress o Joomla, ad esempio, con un plug-in di prova. Se non hai il ragazzo adatto per controllare il tuo codice, è solo una questione di tempo per qualcuno che si intromette, dal momento che gli exploit per le applicazioni e i plugin creati da quelle organizzazioni e dai loro utenti si aprono ogni giorno su database di exploit.

Solo un esempio, lo stesso può essere fatto su applicazioni interne, anche con strumenti automatici.

SSL è solo la punta dell'iceberg.