Esecuzione di webserver con SSL abilitato ma non utilizzato

1

Abbiamo un server web ospitato da una terza parte in esecuzione sulla porta 80. Hanno anche abilitato SSL ma non l'abbiamo usato. Stiamo solo usando la porta 80. Al momento, quando eseguo una scansione delle vulnerabilità, vengono rilevate alcune vulnerabilità SSL e sono preoccupato che se gli hacker riescono a compromettere SSL, ciò influirebbe anche sul mio server web.? Grazie.

    
posta Pang Ser Lark 22.04.2015 - 11:46
fonte

1 risposta

2

Dipende dalle vulnerabilità esatte che sono state trovate, ma a meno che non ci siano minacce molto specifiche come buffer overflow, code injection, ecc. che sono state trovate, la risposta generale è che se non si utilizza SSL, allora si è non interessato dalle debolezze SSL.

L'obiettivo SSL è fornire sicurezza del canale di comunicazione attraverso la riservatezza, l'integrità e l'autenticazione. Generalmente, le minacce SSL proveranno ad attaccare almeno uno di questi punti al fine di ridurre la sicurezza della connessione SSL. Ciò consentirebbe di decifrare gli scambi cifrati, impersonare il server SSL, ecc.

Tuttavia, dal momento che si utilizza solo HTTP, non viene utilizzata la sicurezza del canale di comunicazione e quindi nessuno deve essere attaccato. Pertanto, se la porta SSL fosse configurata male con suite di crittografia scadenti e certificati scadenti, ciò non influirà sul servizio solo HTTP.

    
risposta data 22.04.2015 - 12:50
fonte

Leggi altre domande sui tag