Abbiamo un server web ospitato da una terza parte in esecuzione sulla porta 80. Hanno anche abilitato SSL ma non l'abbiamo usato. Stiamo solo usando la porta 80. Al momento, quando eseguo una scansione delle vulnerabilità, vengono rilevate alcune vulnerabilità SSL e sono preoccupato che se gli hacker riescono a compromettere SSL, ciò influirebbe anche sul mio server web.? Grazie.
Dipende dalle vulnerabilità esatte che sono state trovate, ma a meno che non ci siano minacce molto specifiche come buffer overflow, code injection, ecc. che sono state trovate, la risposta generale è che se non si utilizza SSL, allora si è non interessato dalle debolezze SSL.
L'obiettivo SSL è fornire sicurezza del canale di comunicazione attraverso la riservatezza, l'integrità e l'autenticazione. Generalmente, le minacce SSL proveranno ad attaccare almeno uno di questi punti al fine di ridurre la sicurezza della connessione SSL. Ciò consentirebbe di decifrare gli scambi cifrati, impersonare il server SSL, ecc.
Tuttavia, dal momento che si utilizza solo HTTP, non viene utilizzata la sicurezza del canale di comunicazione e quindi nessuno deve essere attaccato. Pertanto, se la porta SSL fosse configurata male con suite di crittografia scadenti e certificati scadenti, ciò non influirà sul servizio solo HTTP.
Leggi altre domande sui tag webserver web-application tls vulnerability-scanners