Estou começando a ver a maioria dos sites começando a usar SSL como uma prática padrão para visualizar o site com segurança agora, graças às revelações de Edward Snowden sobre a vigilância da NSA que está acontecendo.
Devemos torná-lo um padrão da web para fazer com que todos os sites usem SSL para segurança, visualização, pagamentos e em qualquer lugar?
Eu possuo um blog pessoal simples, e tenho pessoas que dizem que preciso usá-lo por causa de minha opinião, preocupações e idéias sobre o assunto da NSA, e dizem que estão começando a se sentir menos seguros sem HTTPS ...
Respostas:
Pergunta interessante. No entanto, a resposta óbvia seria se eu conseguir um site com um navegador e a NSA também. Eu não estou tentando ser um espertinho nisso. O SSL deve ser usado para o login da conta, pagamentos etc. Como um curso normal de trabalho, não é necessário.
Dito isto, eu apoio SSL mais do que esta resposta implica. Se você é um blogueiro, não usaria SSL. Se você está dizendo algo que deseja privado, mesmo sob certas circunstâncias, não deve publicá-lo ou colocá-lo atrás de um login para controlar melhor quem o vê.
Lembre-se de que a web é um veículo de comunicação aberto. É design e voltado para isso. Os veículos de comunicações privadas não são promíscuos com quem se conectam e compartilham informações e geralmente implementam vários esquemas de segurança para garantir comunicações seguras. A web foi projetada para conectar-se fácil e anonimamente a qualquer cliente e compartilhar todas ou quase todas as informações que possui. Sim, existem opções para proteger as comunicações da Web a um ponto; no entanto, sempre será limitado devido à natureza do que é.
fonte
HTTPS pode conseguir três coisas:
Provavelmente, todos concordam que o HTTPS deve ser obrigatório ao transmitir segredos (como senhas, dados bancários etc.).
Mas existem vários outros casos em que e por que o uso do HTTPS pode ser benéfico:
Os invasores não podem adulterar o conteúdo solicitado.
Ao usar o HTTP, os bisbilhoteiros podem manipular o conteúdo que os visitantes veem no seu site. Por exemplo:
É claro que isso também se aplica ao conteúdo enviado por seus usuários, por exemplo, edições wiki. No entanto, se seus usuários forem anônimos, o invasor poderá "simular" ser um usuário de qualquer maneira (a menos que o invasor seja um bot e exista alguma barreira CAPTCHA eficaz).
Os invasores não podem ler o conteúdo solicitado.
Ao usar HTTP, os bisbilhoteiros podem saber quais páginas / conteúdo em seu host seus visitantes acessam. Embora o conteúdo em si possa ser público, o conhecimento que uma pessoa específica consome é problemático:
É claro que isso também se aplica ao conteúdo enviado por seus usuários, por exemplo, e-mails por meio de um formulário de contato.
Tudo isso dito, a simples oferta de HTTPS e HTTP apenas protegeria os usuários que verificam (ou reforçam localmente, por exemplo, com HSTS ) que eles estão usando. Os invasores podem forçar todos os outros visitantes a usar a variante HTTP (vulnerável).
Portanto, se você concluir que deseja oferecer HTTPS, considere aplicá- lo (redirecionamento do servidor de HTTP para HTTPS, envie o cabeçalho HSTS).
fonte
Segredo
Como seu conteúdo é público, o HTTPS obviamente não o ocultará, mas poderá fornecer alguns benefícios, dependendo da natureza do seu site.
Privacidade
Quando alguém solicita uma página por HTTPS, a solicitação é criptografada; portanto, se alguém estiver assistindo seus visitantes, não saberá quais páginas foram solicitadas. Infelizmente, o DNS (o sistema para obter um endereço IP com base no nome de domínio do seu site) não é criptografado; portanto, um observador ainda pode identificar quem visita o seu site. Mesmo que isso tenha sido criptografado, na maioria dos casos, você ainda pode dizer qual site alguém está visitando com base em endereços IP, que não podem ser ocultos no design atual da Internet.
A Wikipedia oferece HTTPS, que você pode achar inútil porque o conteúdo é público, mas, ao fazer isso, eles protegem seus usuários: se alguém está pesquisando coisas "antipatrióticas" na Wikipedia (usando HTTPS), seu governo não pode dizer em quais páginas está lendo, só que eles estão na Wikipedia. O Twitter é outro caso, o conteúdo em si é público, mas as pessoas não querem necessariamente que outras pessoas saibam o que estão fazendo nele.
Senha de Segurança
O outro motivo principal pelo qual você pode considerar o HTTPS é se você possui alguma página de login ou outro local em que aceita dados particulares de usuários (inclusive você). Se você não suporta HTTPS, senhas e outras informações serão enviadas "de forma clara", e qualquer pessoa que possa ler os dados da rede poderá vê-los (o caso assustador costumava ser outras pessoas na mesma rede wifi que você; agora também inclui várias agências governamentais que procuram material de chantagem).
Se você apenas suportar HTTPS na página de login, mas não em nenhum outro lugar, um invasor inteligente interceptará todas as páginas, exceto a página de login, e alterará o link "Login" para não usar HTTPS, e interceptará sua comunicação (e se você forçar essa página). para HTTPS, eles podem apenas interceptar o tráfego e fornecer uma versão falsa dele que funciona). Você pode evitar isso sempre verificando um ícone de cadeado na barra de URL antes de fazer login, mas quase ninguém se lembra de fazer isso o tempo todo.
fonte
Concordo amplamente com os pontos de Closetnoc, mas há outro ponto que foi esquecido: os usuários do Tor precisam de uma versão SSL para impedir que os nós de saída interceptem .
Se você suspeitar que algum de seus leitores usa o Tor, deve ter o SSL ativado como prática.
Além disso, +1 no ponto de Max Reid: no mínimo, você ajuda a normalizar o uso da criptografia para tráfego não crítico, aumentando assim o esforço que as agências de inteligência precisam exercer para identificar pacotes desejáveis.
fonte
Não há realmente um motivo para não fazê-lo, além do custo do próprio SSL.
Para uma implantação típica de servidor da Web, o SSL adiciona pouca sobrecarga.
Há discussões sobre o padrão http 2.0 para tornar a criptografia obrigatória: http://beta.slashdot.org/story/194289
fonte