Использовать или не использовать SSL? Зачем использовать SSL всегда?

Question

Аргумент за использование SSL заключается в том, чтобы не дать злоумышленнику, который прошел через попытки отслеживания вашего трафика, быть в состоянии прочитать ваш трафик.Поэтому, хотя это может иметь смысл, если вы используете незащищенную беспроводную сеть (не WPA2) для использования SSL при входе в систему на своем банковском счете или предоставлении номера своей кредитной карты, мне трудно увидеть его необходимость в более распространенных бизнес-случаях.

Зачем вообще беспокоиться о SSL?(когда ваш клиент не будет находиться в незащищенной беспроводной сети)

Единственный способ, которым кто-то может отследить ваши конкретные HTTP-соединения и данные в нем, - это если у них есть доступ администратора к вашему маршрутизатору (и то, только если естькакое-то средство для мониторинга / копирования трафика), установили какой-либо инструмент на вашем компьютере (регистратор ключей, разумеется, в любом случае пропустит SSL), или они будут контролировать вас у интернет-провайдера (для которого в большинстве юрисдикций требуется ордер).

Предупреждение об обновлении Некоторые юрисдикции не так свободны, как вы думаете, особенно в 1-м и 2-м мире, например, в Великобритании, правительство может вскоре не потребовать ордер: http://en.wikipedia.org/wiki/Communications_Data_Bill_2008, что, вероятно,влечет за собой возможность читать веб-сайты такими, какими они были в прошлом (то есть расшифровывать SSL), и «Патриотическим актом» США http://en.wikipedia.org/wiki/US_Patriot_Act#Title_II:_Surveillance_procedures

Более того:

• Принятие SSL-соединений на стороне сервера добавляет значительную нагрузкутак как установление соединения интенсивно использует процессор (при генерации секретных ключей).
• PubliСертификаты SSL с надежным доверием необходимо периодически приобретать у третьих лиц

ОБНОВЛЕНИЕ: На самом деле я использую SSL, хотя я и подумал, что в любом случае стоит задать вопрос.Конечно, я думаю, что время SSL не нужно.Может быть, это можно превратить в вики сообщества о плюсах и минусах SSL?Если да, то как?

Кажется, что в ответах ниже часто встречается миф: «кто-то между вами и сервером может подслушать вас» ...

• Это не такЭто возможно в Интернете, так как низкоуровневые TCP-маршрутизаторы только пересылают пакеты туда, куда они должны идти, и даже в одном и том же сеансе могут маршрутизироваться по разным маршрутам, и никто не может смотреть на эти пакеты, кроме как в крайних случаях - технически или законно.
• Что касается кого-то из интернет-провайдера, который смотрит на ваш трафик, мне интересно, почему они сигнализируют вам и смотрят на «столь важные данные», которые, без сомнения, им скучны, это также незаконно без ордера.
• В вашей локальной сети (кроме беспроводной), если вы не используете концентратор динозавров, который транслирует каждый пакет, невозможно прослушать чужой трафик - это невозможно, поскольку аппаратное обеспечение просто не отправляет вам пакеты, даже если у вас естьваша сетевая карта в беспорядочном режиме и использует такой инструмент, как Snort или Wireshark.

Пассивное отравление ARP является одним из способов прослушивания, но оно должно быть выполнено внутри и должно быть уловлено, когда конфликты имен и т. Д. Начнут происходить, и часто шлюз по умолчанию будет статическим, поэтому будет трудно.потому что шлюз по умолчанию будет включен перед вами.

Answer 1

SSL следует использовать везде, где вы передаете информацию, которая не должна быть общедоступной. Очень опасно полагать, что никто не слушает трафик между вашим компьютером и удаленным сервером.

Все, что нужно для отслеживания трафика - это быть в вашей сети - им не нужен доступ администратора к вашему маршрутизатору. Без использования SSL для конфиденциальных коммуникаций один компьютер с вирусом на компьютере коллеги - это все, что нужно для кражи вашей личности.

Интернет-провайдер также имеет доступ ко всему сетевому трафику - насколько вы доверяете его специалистам?

Уважаемый пользователь,

Мы решили против шифрование нашего интернет-трафика потому что мы просто не думаем, что это важный. Мы решили, что это очень трудно контролировать интернет трафик, так что если кто-то действительно готовы пойти на это усилие, хорошо они заслуживают всех данных, которые они могут получить их руки. Если вы используете старый стиль роутера сотрудники и / или сотрудники, или кто-то просто не любит тебя и решает украсть ваши данные, мы не принимаем ответственность.

Мы не советуем никому рассказывать о нашем решении, так как это привлечет нежелательное внимание к нашему IP-трафику.

С наилучшими пожеланиями,

Достаточно хорошее программирование

Отказ от ответственности: Если вы хакер и наткнулись на это сообщение во время мониторинга IP-трафика, мы вежливо указываем, что то, что вы делаете, является незаконным, и просим вас сделать вид, что вы его никогда не видели. *

Answer 2

Проблема в том, что, скажем, использование WPA2 защищает только соединение между вашим компьютером и маршрутизатором. Существует большая часть незащищенной сети между маршрутизатором и пунктом назначения - это дизайн Интернета. Вы не знаете, кто идет по пути, и там может быть любое количество злых (или просто любопытных) слушателей. Они могут даже не находиться в вашей юрисдикции, поэтому предотвращение подслушивания может оказаться невозможным.

SSL дает вам зашифрованный туннель вплоть до другого конца.

Если вы говорите о локальной сети небольшой компании, в которой трафик не покидает внутреннюю сеть, то, конечно же, не беспокойтесь о SSL, если не хотите. Но если что-то чувствительное проходит через Интернет, тогда вы действительно хотите использовать SSL, чтобы никто не увидел его. Все дело в том, насколько важна информация.

Следует помнить, что многие веб-сайты используют файлы cookie для запоминания информации для входа в систему. Если эти куки ходят по Интернету в открытом виде, то взломать сеанс довольно тривиально - подумайте FireSheep. Таким образом, вы должны быть очень осторожны с тем, что вы считаете «конфиденциальной» информацией. Учитывая, что многие бизнес-приложения перемещаются на удаленные серверы (я думаю, молодые называют это «облаком»), это не является второстепенной проблемой.

Короче говоря, используйте SSL, если есть что-то, что вы не хотите, чтобы кто-либо еще видел, проходя через сеть, которая не полностью находится под вашим контролем.

Answer 3

SSL обеспечивает аутентификацию и шифрование.

Это - это несколько сложнее для MITM незашифрованного соединения, но не так сложно для незашифрованной беспроводной сети, которую вы привели в качестве примера. Любая сеть, которая позволяет вам подделывать ARP (много коммутируемых проводных сетей), также позволяет использовать MITM. Но вы забываете о каждом роутере по пути. Помните несколько месяцев назад, когда (надеюсь) плохо настроенный маршрутизатор в Китае маршрутизировал значительную, хотя и относительно небольшую, часть интернет-трафика? Они могли видеть твой открытый текст. То же самое можно сказать и о других клиентах в кабельной сети и т. Д.

Но SSL также обеспечивает аутентификацию. Если я получу от вас закрытый ключ для действующего сертификата SSL, я чертовски уверен, что вы тот, кем вы себя называете - вдвойне, если это компетентный центр сертификации.

Но большее беспокойство вызывает то, что вы, похоже, не совсем понимаете SSL, поэтому я бы посоветовал вам не принимать решение так или иначе самостоятельно - по крайней мере, до тех пор, пока вы не прочитаете больше. Протокол SSL не требует, чтобы вы генерировали новый ключ при каждом запросе, и фактически не будет работать, если он это сделает. Кроме того, любой относительно новый компьютер может одновременно обрабатывать тысячи запросов SSL - алгоритмы очень быстрые. Кроме того, вы можете использовать ускорители шифрования, которые переносят работу на выделенную часть оборудования.

Если вы считаете, что может понадобиться использовать SSL для защиты некоторых данных, и часто, если вы этого не делаете, причин для избежания этого почти нет. Да, есть некоторые расходы, но любые данные о последствиях стоят $ 300 / год.

РЕДАКТИРОВАТЬ Я прочитал ваш комментарий - это клиентское приложение? Решение в вашем случае, вероятно, заключается в использовании самозаверяющих ключей, и вы можете распространять открытый ключ вместе с приложением. Это позволяет вам шифровать и проверять, что вы говорите с тем, кем вы должны быть.

Answer 4

Я не думаю, что каждому веб-сайту нужен SSL, если вы используете его, но есть случаи, когда вы хотите иметь возможность аутентифицировать пользователя без использования SSL.

Я создал(javascript-> perl) случайная хэш-аутентификация одноразового использования только для этой цели.

http://www.furiousgryphon.com/jauthenticatedemo.html

https://github.com/thomasoeser/jAuthenticate

Answer 5

Общее понимание, возможно, изменилось за последние восемь лет.Этот сайт дает хороший ответ:

https://doesmysiteneedhttps.com/

Даже когда не передаются «конфиденциальные» данные, SSL предотвращает внедрение содержимого страницы.

Answer 6

Одна из вещей, о которых большинство людей здесь забывают обратиться, - что вы считаете конфиденциальными данными?То, что один человек считает скучными бесполезными данными, может считаться кем-то очень конфиденциальным или наоборот.Итак, что ты собираешься делать?Использовать SSL для всех данных, чтобы обезопасить себя, чтобы не получить иск?Стань настоящим.Возьмите программу чата, например.Большинство согласится с тем, что шифрование имени пользователя и пароля было бы важно, но как насчет самого текста чата?Большинство чатов - обычные вещи, и устранение SSL обеспечит лучшую производительность.Лично я бы позволил конечному пользователю решить, что важно, а затем предоставил бы SSL только для тех типов информации, которые, по его мнению, должны быть зашифрованы.Это то, что Google делает с Gmail.Вы можете использовать SSL или нет.