Требуется ли SSL для веб-сайта, если данные действительно надежно передаются на сервер?

Question

У меня довольно простой запрос, с которым, я надеюсь, кто-нибудь может помочь.Веб-сайт www.example.com представляет пользователю форму, которая собирает кучу личных данных.например, имя, адрес электронной почты, телефон.

Полный URL-адрес: http://www.example.com/

При отправке данные формы собираются через JavaScript, POSTed посредством вызова AJAX по адресу www.example.com/process.php и передается на сервер через безопасный вызов API с использованием запроса curl.

Полный URL-адрес, указанный в запросе curl: https://api.mysecuresite.com/

Нужно ли предоставлять SSL-сертификат для www?.example.com

Answer 1

Да.

Данные могут быть перехвачены между браузером и http://www.example.com/process.php.

(Рассмотрим аналогию: вы берете большую сумму денег из банка, держите ееподняться в воздух и пройти два квартала по улице. Затем вы кладете деньги в бронированный фургон. Это безопасный способ обращения с наличными?)

Также: атака «человек посередине» можетвставьте скрипт в http://www.example.com, прежде чем он будет помещен в HTTP-запрос к http://www.example.com/process.php.Это также может перехватить данные, даже если вы отправляете запрос Ajax непосредственно на https://api.mysecuresite.com/.

Кроме того, пользователи будут проинформированы о том, что http://www.example.com небезопасен, что будет (правильно) отговаривать их от доверия любым заверениямВы делаете их данные в безопасности.