È consigliabile utilizzare OpenID (da Google o Yahoo) per accedere a un sito Web anziché a un nome utente + password se il sito Web non ha un certificato SSL installato?
Per chiarire le cose, l'installazione di un certificato SSL non è possibile perché non esiste un indirizzo IP dedicato per l'hosting web.
Altri suggerimenti per l'accesso sicuro?
Sarebbe più sicuro per l'utente OpenID se il sito in cui è stato effettuato l'accesso non supporta SSL che l'utilizzo di un nome utente e una password. Finché il provider OpenID fornisce SSL, tutto ciò che verrà inviato in chiaro (cioè, che un uomo nel mezzo potrebbe ottenere) sarebbe la presentazione del ticket che indica che sei chi dici di essere al server.
Sarebbe utile solo a qualcuno che tenti di compromettere il tuo account sul sito non protetto al quale stai effettuando l'accesso. A seconda della configurazione, è probabile che non siano in grado di riutilizzare il ticket per accedere anche in futuro, dove una combinazione di nome utente e password potrebbe essere utilizzata indefinitamente per il futuro.
Volevo solo correggere questo equivoco:
Just to make things clear, installing an SSL certificate is not possible because there is no dedicated IP address for web hosting.
Sebbene questo possa essere ciò che il tuo provider di hosting ti ha detto, non è una proprietà fondamentale di SSL / TLS e nella maggior parte degli ambienti di hosting non è vero.
L'idea sbagliata deriva dal fatto che l'intestazione Host: di una richiesta HTTP è crittografata all'interno del flusso SSL e quindi per molti anni l'unico modo per distinguere quale certificato SSL dovrebbe essere usato su un server che ospita più siti web era avere un indirizzo IP per certificato SSL.
Per risolvere questo problema, SNI è stato creato come estensione a SSL / TLS. Se sia il client che il server supportano SNI, qualsiasi numero di certificati SSL può essere servito da un singolo indirizzo IP. SNI è stata la prima pratica nel 2008 ed è ampiamente supportata in questi giorni ma dovresti controllare i clienti che vedi sul tuo sito web rispetto all'elenco dei clienti supportati nell'articolo di Wikipedia.
Se viene effettuata una richiesta in cui il server o il client non supportano SNI, il comportamento di Apache consiste nel scegliere il primo certificato SSL nella sua configurazione e utilizzarlo. Ciò causerà un avvertimento nel browser ma se l'utente sceglie di ignorare l'avviso verrà comunque effettuata una connessione crittografata, anche se negoziata con il certificato sbagliato.
Per motivi di accuratezza / completezza, nel caso di cui sopra l'intercettazione sarebbe possibile da parte di qualcuno che avesse accesso alla chiave privata del certificato SSL predefinito nella configurazione di Apache, ma poiché richiederebbe i privilegi di root nella stessa casella in cui il certificato è archiviato, non lo vedo come una minaccia significativa. Insegnare agli utenti di ignorare gli avvisi di mancata corrispondenza dell'host SSL non è comunque una buona pratica e suggerire che l'aggiornamento a un browser / sistema operativo più moderno è molto meglio dal punto di vista della sicurezza.
Leggi altre domande sui tag authentication openid web-application tls certificates