Devo spiegare perché avere un certificato SSL è un buon investimento per un e-commerce. Come faccio a farlo quando l'altra persona è un imprenditore intelligente ma non intelligente?
Devo spiegare perché avere un certificato SSL è un buon investimento per un e-commerce. Come faccio a farlo quando l'altra persona è un imprenditore intelligente ma non intelligente?
Ci sono un paio di angoli:
Non hanno alcun interesse tecnico, il primo aspetto è che, per quanto ne so, la carta di credito l'industria richiede la crittografia della trasmissione (e varie altre cose) . Da un punto di vista normativo, questo dovrebbe essere sufficiente per utilizzare HTTPS.
Per coloro che vogliono saperne un po 'di più, per prima cosa spiega che il semplice traffico HTTP avviene in chiaro.
Quindi, se vuoi eseguire una demo, puoi simulare un attacco MITM, ma puoi anche dimostrare più facilmente l'intercettazione passiva: connetti una macchina che esegue Wireshark sullo stesso router 1 come la loro macchina e mostra loro cosa stanno guardando. Certo, lo fai solo se hai ottenuto il permesso da chiunque sia connesso a quella rete; assicurati che quello che fai sia legale prima nella tua giurisdizione. Quindi, spiega che chiunque abbia accesso alla rete tra la sua macchina e il server potrebbe farlo. Per l'utente non tecnico, questo dimostra almeno la necessità di crittografia.
I certificati in SSL / TLS sono realmente utilizzati per l'autenticazione, che protegge dagli attacchi MITM (attivi). A seconda di quanta attenzione i tuoi utenti sono disposti a dare a questa demo, possono o non possono aver bisogno / vogliono vedere un attacco MITM nello stesso modo (puoi provare sslstrip
o altri kit, anche se non necessariamente dimostra lo stesso aspetto).
Se capiscono la necessità della crittografia, capiranno la necessità di SSL / TLS (HTTPS) su un sito web. Fortunatamente, i browser implementano la verifica dei certificati in ogni caso quando viene utilizzato HTTPS, proteggendo in tal modo da attacchi di intercettazione passiva e attacchi MITM attivi. Ciò rende necessario l'uso di un certificato 2 (non sono sicuro che la tua domanda sia specificamente sull'aspetto certificato , o più in generale su come usare HTTPS).
Gli utenti non devono mai essere guidati per ignorare gli avvisi del browser. Ciò significa anche che avranno bisogno di un certificato riconosciuto dalla maggior parte dei browser per impostazione predefinita (questo è il motivo per cui un sito di e-commerce non deve utilizzare un certificato autofirmato). PKI e CA hanno i loro difetti, ma nel complesso sono un compromesso ragionevole per la maggior parte degli utenti.
Quindi, se vuoi andare per un certificato EV o meno dipende da te. Le CA hanno certamente interesse a promuoverle. Non sono sicuro che funzioni, ma il loro marketing è certamente ben fatto e dovrebbe funzionare per qualcuno che usa i loro opuscoli come punto di partenza senza voler sapere troppo.
Oltre a tutto questo, un sito di e-commerce dovrebbe essere implementato correttamente: nessun contenuto misto in particolare. Anche i cookie sicuri sono buoni. Usa HTTP Strict Transport Security se puoi.
1. Qui uso questo termine in modo approssimativo, assumendo un router domestico, che funge anche da hub / switch.
2. Non sono sicuro che nessun browser supporti cifrari nulli o certificati diversi da X.509. Certamente non con le impostazioni predefinite
Usa SET (Social Engineering Toolkit) da Backtrack per clonare la prima pagina della banca in cui l'imprenditore ha un conto in. Impostalo su un server Apache sulla porta 80.
Crea un attacco Poisoinig DNS o MITM (ARP) e comunica al proprietario dell'azienda di accedere al suo conto bancario.
Nel frattempo, accendi tcpdump -X -s0
e mostragli il suo nome utente e la password.
Digli che sarebbe molto più difficile se la connessione venisse crittografata:)
I tuoi clienti si sentiranno più sicuri quando effettuano acquisti utilizzando una connessione SSL. Anche se i tuoi clienti non capiscono cosa sia SSL, possono vedere visivamente la connessione sicura. La connessione sicura potrebbe sembrare una serratura o qualcosa di verde. Il verde è buono?
Il più grande vantaggio reale è che è più difficile eseguire MITM perché è necessario rimuovere il layer SSL per farlo. Le reti pubbliche non saranno semplicemente in grado di vedere i tuoi dati di testo chiaro. Tuttavia, i clienti probabilmente effettueranno acquisti netti su una rete pubblica.
SSL crittografa il traffico tra il client e il server. Senza di esso, tutte le comunicazioni sono in chiaro, tra cui password, dettagli delle carte di credito e così via. Probabilmente la spiegazione più semplice a cui potrei pensare:)
Un certificato SSL è un requisito di conformità . Non averne uno è una responsabilità . Inoltre, i certificati SSL sono gratuiti .
Se glielo dici tu e lui non riceve subito un certificato SSL, allora non dovrebbe davvero provare a fare e-commerce.
Innanzitutto, un sito abilitato per HTTPS, che richiede un certificato SSL, è obbligatorio per la conformità PCI, che a sua volta è un requisito imposto dalle società di carte di credito e dai servizi di assistenza per l'accettazione dei pagamenti con carta di credito sul sito. Quindi se vuoi che i tuoi utenti paghino tramite il sito web usando qualcosa che controlli (e non solo l'integrazione con PayPal), stai ricevendo un certificato SSL.
In secondo luogo, un certificato X.509 firmato da una CA e il trasporto HTTPS per l'intero sito, non solo le sezioni di pagamento, ridurranno la frequenza di rimbalzo comunicando agli utenti che si trovano nel posto giusto. La maggior parte dei browser aggiungerà un tocco speciale alla barra degli indirizzi al momento del checkout del certificato SSL di un sito; Chrome attiva il testo HTTPS: // verde e ti dà un blocco verde, mentre IE mostra un lucchetto dorato con le altre icone.
Terzo, se passi al passaggio extra e ottieni un certificato EV-SSL (che richiede una rigorosa prova di identità per non solo il server e il dominio, ma la società che sta ricevendo il certificato), la barra del browser degli utenti diventa verde, identifica il tuo sito e tu come azienda hai il livello più alto di prova di identità di VeriSign. Ciò ridurrà ulteriormente la frequenza di rimbalzo in quanto i tuoi utenti saranno molto fiduciosi sul tuo sito.
Tieni presente che un certificato SSL è solo metà dell'equazione; il tuo sito deve inoltre fornire il 100% del contenuto visualizzato di ogni pagina su quel canale HTTPS. Questo di solito significa che il tuo sito deve ospitare o proxy tutti i contenuti visualizzati, inclusi banner pubblicitari di terze parti, controlli sui social media, ecc.
I certificati SSL per un sito web aiutano gli utenti a sapere che si trovano su un sito Web affidabile e genuino che non ruberà nessuna delle loro informazioni .SSL importante per il sito di e-commerce perché al momento del pagamento tutti cercano una connessione sicura che le informazioni private e più importanti come il numero di carta di credito o il numero CVV non sono rubate illegalmente, quindi ssl conferma che il sito sta adottando le misure di sicurezza per mantenere sicuri i dati privati. Inoltre aiuta nella crittografia del traffico per mantenere la trasmissione sicura dei dati .
I certificati SSL sono progettati per fare due cose:
1) Fornire la verifica all'utente finale che il sito che stanno visitando è legittimo (e il sito è chi affermano di essere). A causa del processo di verifica coinvolto nell'ottenere il certificato.
2) Fornire la chiave pubblica necessaria per crittografare il traffico tra il browser Web dell'utente e il server.
Certo, entrambi questi elementi possono essere elusi. Ma avere un certificato installato è molto meglio che non averne uno. Soprattutto per un sito di e-commerce.
EDIT: chiarimento al punto 2, suggerito da bruno
Leggi altre domande sui tag tls