Perché HTTPS viene usato in modo così raro a livello internazionale (Asia)?

Question

Perché HTTPS viene usato in modo così raro a livello internazionale (Asia)?

#1 da (1 voti)
#2 da (0 voti)

6

Recentemente ho avuto il privilegio di viaggiare un po 'all'estero, e ho notato che (soprattutto in Asia) HTTPS è usato molto raramente, anche su siti governativi e educativi in cui gli utenti accedono e forniscono informazioni sensibili. Ho fatto alcune letture su Wikipedia sull'esportazione di tecnologie di crittografia dagli Stati Uniti come potenziale problema, ma ho avuto l'impressione che utility come OpenSSL fossero praticamente gratuite ovunque e che le CA fossero in grado di emettere certificati in qualsiasi paese che non sono stati considerati "instabili" o "in disaccordo" con l'ONU o gli USA (non sono sicuro degli aspetti specifici di questo). Sapendo quanto sia facile per un utente malintenzionato sniffare il traffico HTTP sulle reti WiFi, sono rimasto scioccato dal fatto che queste istituzioni non stessero proteggendo i loro utenti implementando HTTPS. E senza la conferma dell'identità, non c'è nemmeno la garanzia che gli utenti si trovino nel posto giusto, sia che si tratti di WiFi o meno.

Quindi, per chiunque abbia esperienza in temi di sicurezza web internazionali, qualcuno sa perché non viene utilizzato HTTPS? C'è qualcos'altro che i loro utenti stanno facendo per proteggersi che sono completamente all'oscuro?

tls international

posta Funktr0n 29.12.2014 - 21:57

fonte

2 risposte

Leggi altre domande sui tag tls international

La data-remanence è un problema nella RAM? Il client java è vulnerabile a POODLE?

score 1 · Answer 1

Direi che l'embargo statunitense e le differenze culturali hanno avuto un ruolo significativo, ma c'è anche un innegabile livello di sciatteria o mancanza di consapevolezza della sicurezza.

Sebbene la crittografia SSL a 40 bit sia disponibile in Netscape dal 1995 circa, molte banche straniere che hanno aperto la strada ai pagamenti online potrebbero non averlo considerato abbastanza sicuro. Spesso hanno scelto di utilizzare i plug-in del browser per fornire una migliore crittografia. Il più famoso è il SEED sistema coreano.

C'è anche una potenziale cosa culturale in cui agli asiatici piacciono più modi di esprimersi, quindi miglioramenti tecnici come emoticon, Flash e plug-in / applet sono potenzialmente più accettabili. A causa della concorrenza, se una banca offre un plug-in per proteggere le transazioni online, le altre probabilmente seguiranno l'esempio. Dal momento che le banche stanno assumendo le responsabilità, i commercianti potenzialmente investono meno in sicurezza.

Tuttavia, questo non spiega completamente perché i siti non di e-commerce non utilizzano HTTPS. È possibile che abbiano consultato le loro banche per le migliori pratiche di sicurezza e notato che HTTPS non è stato utilizzato. Forse l'educazione generale sulla sicurezza informatica non è ancora al livello del mondo occidentale. Forse ci sono meno attacchi di alto profilo alle aziende asiatiche. Forse il costo per ottenere un certificato è solo troppo alto (con le commissioni dei rivenditori locali e la traduzione) per le piccole / medie imprese. Forse le leggi sulla privacy sono deboli o inesistenti in alcuni paesi e le aziende non hanno nulla da perdere senza fornire alcuna crittografia. Forse perché l'hosting è più costoso in Asia (vedi un gran numero di HTTPS che reindirizzano a HTTP).

La verità è che forse non lo sapremo mai, ma arriva il giorno in cui la maggior parte dei siti web sono HTTPS, sarà difficile trovare qualsiasi sito che non lo supporta in qualsiasi parte del mondo.

score 0 · Answer 2

Molti siti trovano semplicemente che possono andare via senza usarne uno. Si possono usare diverse giustificazioni, una delle quali è che i certificati SSL possono essere più difficili da acquisire da fonti attendibili quando sono all'estero. Inoltre, il traffico dei certificati correttamente attendibili non può essere ispezionato da firewall ficcanaso che non hanno accesso alla chiave privata. Quindi quei firewall pubblicheranno semplicemente quei siti su HTTP al posto di HTTPS, in questo modo non vi è alcun avviso di certificato.