Ha ancora senso crittografare i dati su SSL? [duplicare]

Dipende principalmente dai rischi che vuoi mitigare. Se è possibile (ragionevolmente) fidarsi di tutte le informazioni disponibili sul server e se non è necessario proteggere questi dati da un proxy di ispezione approfondita aziendale, è possibile considerare attendibile il livello di crittografia SSL / TLS.

Normalmente, devi solo aggiungere un altro livello di crittografia nei seguenti casi d'uso:

• sei al lavoro dietro un proxy aziendale con ispezione approfondita dei pacchetti e i dati sono abbastanza sensibili da richiedere l'occultamento al team di supporto della rete locale
• i dati non dovrebbero mai essere in forma decrittografata sul server. Può essere utilizzato se non ci si può fidare del team di amministratori del server

Un esempio di quest'ultimo caso d'uso è lo scambio di mail crittografate S / MIME. Continui a utilizzare TLS per proteggere la comunicazione (principalmente le credenziali) ma solo il destinatario finale sarà in grado di leggere il messaggio: l'amministratore del server di posta trova solo un payload criptato.

Se il server e del client possono essere autenticati e il client è autorizzato ad accedere ai dati, la crittografia dei dati non fornisce alcuna sicurezza aggiuntiva.

Tuttavia, se il canale di comunicazione potrebbe essere compromesso (ad esempio attraverso un server proxy che agisce come un uomo nel mezzo) i dati potrebbero essere a rischio. L'autenticazione corretta del server sul lato client (ad esempio il blocco dei certificati) può impedirlo.