Buộc sử dụng SSL trên trang web bây giờ?


22

Bây giờ tôi bắt đầu thấy phần lớn các trang web bắt đầu sử dụng SSL như một thông lệ tiêu chuẩn để xem trang web một cách an toàn nhờ những tiết lộ của Edward Snowden về sự giám sát của NSA đang diễn ra.

Chúng ta có nên biến nó thành một tiêu chuẩn web để làm cho tất cả các trang web sử dụng SSL để bảo mật, xem, thanh toán và ở mọi nơi không?

Tôi sở hữu một blog cá nhân đơn giản và tôi có người nói rằng tôi cần sử dụng nó vì tôi nói lên ý kiến, mối quan tâm và ý tưởng của mình về chủ đề của NSA và họ nói rằng họ bắt đầu cảm thấy kém an toàn hơn nếu không có HTTPS ...


3
Cân nhắc việc cung cấp TLS chỉ để tăng lượng lưu lượng được mã hóa trên web khiến những người độc hại khó phân biệt lưu lượng truy cập âm mưu và nhàm chán.
Max Ried

Câu trả lời:


5

Câu hỏi thú vị. Tuy nhiên, câu trả lời rõ ràng sẽ là nếu tôi có thể có được một trang web với trình duyệt, thì NSA cũng có thể có được nó. Tôi không cố gắng trở thành một người thông minh về điều này. SSL nên được sử dụng để đăng nhập tài khoản, thanh toán, v.v ... Như một quá trình làm việc bình thường, không cần thiết.

Phải nói rằng, tôi hỗ trợ SSL nhiều hơn câu trả lời này. Nếu bạn là một blogger, thì tôi sẽ không sử dụng SSL. Nếu bạn đang nói những điều bạn muốn riêng tư ngay cả trong một số trường hợp nhất định, thì bạn không nên đăng nó hoặc đặt nó phía sau thông tin đăng nhập để kiểm soát tốt hơn những người nhìn thấy nó.

Hãy nhớ rằng web là một phương tiện truyền thông mở. Đó là thiết kế và hướng đến điều này. Các phương tiện liên lạc tư nhân không phải là lăng nhăng với người mà nó kết nối và chia sẻ thông tin với và thường triển khai nhiều kế hoạch bảo mật để đảm bảo liên lạc an toàn. Web được thiết kế để kết nối dễ dàng và ẩn danh với bất kỳ khách hàng nào và chia sẻ tất cả hoặc gần như tất cả thông tin mà nó có. Có, có các tùy chọn để bảo mật thông tin liên lạc web đến một điểm, tuy nhiên, nó sẽ luôn bị giới hạn do bản chất của nó.


Bạn có một điểm. Chứng chỉ SSL giúp họ không rình mò và đưa mọi người vào "danh sách" để trở thành khách truy cập vì tôi đang nói sự thật và phân tích hành động của họ và đánh bại họ xuống địa ngục ...

Đuợc. Tôi sẽ cho bạn vào một bí mật. Tôi là một nhà tư vấn bán hưu trí cho các viễn thông lớn. Không có gói mã hóa, chúng tôi không thể giải mã. Nó đòi hỏi thiết bị đặc biệt, nhưng nó là thiết bị dễ dàng thu được. Người đánh hơi của chúng tôi hiếm khi gặp rắc rối với mã hóa bao gồm thông tin liên lạc được mã hóa kép. Nó có thể khó hơn những ngày này thừa nhận. Đồng thời, tôi là Intel trước Hải quân với DoD làm việc. Tôi chắc chắn rằng nếu NSA muốn xem xét thông tin liên lạc được mã hóa của bạn, họ có thể. Bây giờ tôi sẽ nói với bạn rằng nói chung, họ không quan tâm đến những gì bạn đang nói miễn là bạn không nói chuyện với một kẻ khủng bố.
Closnoc

Điều đó xảy ra với tôi rằng tôi nên nói rằng tôi không thích những gì NSA đang làm và tôi không nghĩ nó đúng. Không phải vậy. Tôi cũng muốn chỉ ra tải lưu lượng là sao cho họ không thể nhìn vào mọi thứ mà họ cũng không thử. Điều có khả năng quan trọng nhất đối với họ trước tiên là thông tin tiêu đề gói để thiết lập điểm đáng ngờ để liên lạc điểm trước khi kiểm tra bất kỳ gói nào. Do đó, bất cứ ai vào blog của bạn đều không có khả năng bị đánh hơi trừ khi đó là Osama tái sinh hoặc có thể là anh em họ của anh ta. (hài hước)
Closnoc

Sau đó, SLL bị tổn hại bởi bạn và bất kỳ ai có kỹ năng của bạn, đó là cách tôi thực hiện điều này ... Cộng với những điều mặc khải của Edward Snowden và những gì được phát hành không có nghĩa là họ ghi lại mọi thứ về chúng tôi, khi nó nói rằng họ là ai? Hoặc đọc những rò rỉ này cho bản thân tôi về những gì NSA đã làm và đang làm là không chính xác?

Xin lỗi cho vài câu hỏi cuối cùng. Có rất nhiều điều không có ý nghĩa với tất cả những thứ đang xảy ra.

6

HTTPS có thể đạt được ba điều:

  • Tính xác thực . Đảm bảo rằng bạn đang liên lạc với chủ sở hữu tên miền thực.
  • Bảo mật . Đảm bảo rằng chỉ chủ sở hữu tên miền này và bạn có thể đọc thông tin liên lạc.
  • Chính trực . Đảm bảo rằng nội dung không bị người khác sửa đổi.

Có lẽ mọi người đều đồng ý rằng HTTPS nên là bắt buộc khi truyền bí mật (như mật khẩu, dữ liệu ngân hàng, v.v.).

Nhưng có một số trường hợp khác và tại sao việc sử dụng HTTPS có thể có lợi:

Kẻ tấn công không thể can thiệp vào nội dung được yêu cầu.

Khi sử dụng HTTP, những kẻ nghe trộm có thể thao túng nội dung mà khách truy cập của bạn nhìn thấy trên trang web của bạn. Ví dụ:

  • Bao gồm phần mềm độc hại trong phần mềm bạn cung cấp để tải xuống.
  • Kiểm duyệt một số nội dung của bạn. Thay đổi ý kiến ​​của bạn.
  • Tiêm quảng cáo.
  • Thay thế dữ liệu của tài khoản đóng góp của bạn bằng tài khoản của riêng họ.

Tất nhiên điều này cũng áp dụng cho nội dung được gửi bởi người dùng của bạn, ví dụ như chỉnh sửa wiki. Tuy nhiên, nếu người dùng của bạn ẩn danh, kẻ tấn công có thể "mô phỏng" dù sao cũng là người dùng (trừ khi kẻ tấn công là bot và có một số rào cản CAPTCHA hiệu quả).

Kẻ tấn công không thể đọc nội dung được yêu cầu.

Khi sử dụng HTTP, những kẻ nghe trộm có thể biết trang / nội dung nào trên máy chủ của bạn mà khách truy cập của bạn truy cập. Mặc dù nội dung có thể là công khai, nhưng kiến ​​thức mà một người cụ thể sử dụng nó có vấn đề:

  • Nó mở ra một vector tấn công cho kỹ thuật xã hội .
  • Nó xâm phạm quyền riêng tư.
  • Nó có thể dẫn đến sự giám sát và trừng phạt (phải chịu tù đày, tra tấn, tử hình).

Tất nhiên, điều này cũng áp dụng cho nội dung được gửi bởi người dùng của bạn, ví dụ như thư qua một hình thức liên lạc.


Tất cả những gì đã nói, chỉ cần cung cấp HTTPS ngoài HTTP sẽ chỉ bảo vệ người dùng kiểm tra (hoặc thực thi cục bộ, ví dụ như với HSTS ) rằng họ đang sử dụng nó. Kẻ tấn công có thể buộc tất cả khách truy cập khác sử dụng biến thể HTTP (dễ bị tổn thương).

Vì vậy, nếu bạn đi đến kết luận rằng bạn muốn cung cấp HTTPS, bạn có thể muốn xem xét việc thực thi nó (chuyển hướng phía máy chủ từ HTTP sang HTTPS, gửi tiêu đề HSTS).


1
Chỉ cần tránh tiêm quảng cáo là đủ để tôi chuyển trang web thông tin của mình sang SSL.
Bill Ruppert

4

Bí mật

Vì nội dung của bạn là công khai, HTTPS rõ ràng sẽ không che giấu nó, nhưng nó có thể cung cấp một số lợi ích tùy thuộc vào bản chất của trang web của bạn.

Riêng tư

Khi ai đó yêu cầu một trang qua HTTPS, yêu cầu được mã hóa, vì vậy nếu ai đó đang theo dõi khách truy cập của bạn, họ sẽ không biết họ yêu cầu trang nào. Thật không may, DNS (hệ thống nhận địa chỉ IP dựa trên tên miền của trang web của bạn) không được mã hóa, vì vậy người quan sát vẫn có thể xác định ai truy cập trang web của bạn. Ngay cả khi điều đó được mã hóa, trong hầu hết các trường hợp, bạn vẫn có thể biết trang web nào mà ai đó đang truy cập dựa trên địa chỉ IP, không thể ẩn trong thiết kế hiện tại của internet.

Wikipedia cung cấp HTTPS, điều mà bạn có thể nghĩ là vô nghĩa vì nội dung là công khai, nhưng bằng cách này, họ bảo vệ người dùng của họ: Nếu ai đó đang tìm kiếm những thứ "không yêu nước" trên Wikipedia (sử dụng HTTPS), chính phủ của họ không thể biết họ đang ở trang nào Đang đọc, chỉ là họ đang ở trên Wikipedia. Twitter là một trường hợp khác, bản thân nội dung là công khai, nhưng mọi người không nhất thiết muốn người khác biết họ đang làm gì trên đó.

Mật khẩu bảo mật

Lý do chính khác mà bạn có thể muốn xem xét HTTPS là nếu bạn có bất kỳ trang đăng nhập hoặc địa điểm nào khác nơi bạn chấp nhận dữ liệu riêng tư từ người dùng (bao gồm cả chính bạn). Nếu bạn hoàn toàn không hỗ trợ HTTPS, mật khẩu và thông tin khác sẽ được gửi "rõ ràng" và bất kỳ ai có thể đọc dữ liệu mạng đều có thể thấy chúng (trường hợp đáng sợ từng là người khác trên cùng mạng wifi như bạn; bây giờ nó cũng bao gồm các cơ quan chính phủ khác nhau đang tìm kiếm tài liệu tống tiền).

Nếu bạn chỉ hỗ trợ HTTPS trên trang đăng nhập, nhưng không phải nơi nào khác, kẻ tấn công thông minh sẽ chặn mọi trang trừ trang đăng nhập và thay đổi liên kết "Đăng nhập" để không sử dụng HTTPS, sau đó chặn liên lạc của bạn (và nếu bạn buộc trang đó với HTTPS, họ chỉ có thể chặn lưu lượng và cung cấp phiên bản giả mạo của nó hoạt động). Bạn có thể ngăn chặn điều này bằng cách luôn kiểm tra biểu tượng khóa trong thanh URL của mình trước khi đăng nhập, nhưng hầu như không ai nhớ làm điều đó mỗi lần.


3

Tôi phần lớn đồng ý với các điểm của Closetnoc, nhưng có một điểm khác bị bỏ qua: Người dùng Tor cần phiên bản SSL để ngăn các nút thoát khỏi nghe lén .

Nếu bạn nghi ngờ bất kỳ độc giả nào của bạn sử dụng Tor, bạn nên kích hoạt SSL như một vấn đề thực tế.

Ngoài ra, +1 trên quan điểm của Max Reid: ít nhất, bạn giúp bình thường hóa việc sử dụng mã hóa cho lưu lượng không quan trọng, do đó làm tăng nỗ lực mà các cơ quan tình báo cần phải nỗ lực để xác định các gói mong muốn.


Tôi thích ý tưởng làm cho cuộc sống của NSA trở nên khó khăn hơn. Thật không may, nó có thể làm cho cuộc sống khó khăn hơn cho tất cả các vòng. Nhiều chu kỳ CPU hơn, truyền dữ liệu lớn hơn, nhiều gói hơn, tốc độ truyền chậm hơn, v.v ... Tất nhiên đây chỉ là một giọt nhỏ trên mỗi trang, nhưng đủ các trang và bạn có thể gặp vấn đề thực sự chứ đừng nói đến việc NSA đang làm gì. Giữ lấy. NSA sẽ có một nút thắt vào đuôi của nó ngay khi năm 2016 đến gần. Ngay bây giờ nó chỉ là một đám cháy nhỏ dưới một $$ của họ.
Closnoc

4
@closetnoc TLS tăng kích thước chuyển, như thế nào, 1%? Và bất kỳ CPU bán hiện đại nào cũng có thể xử lý tất cả các loại tiền điện tử mà trình duyệt web có thể nghĩ để ném vào nó. Có vấn đề gì vậy?
Matt Nordhoff

Tôi đồng ý. Tôi gọi nó là một giọt nhỏ. Có lẽ nó giống như một giọt nước siêu nhỏ. Nhưng tôi nghi ngờ rằng những giọt nước siêu nhỏ đủ nhỏ sẽ thực sự ảnh hưởng đến cuộc sống. Hãy suy nghĩ về phạm vi của web và nếu mọi người di chuyển sang SSL, điều đó sẽ tăng lên nhanh chóng. Nó có thể không làm mất mạng, nhưng tôi chắc chắn rằng hiệu quả sẽ được cảm nhận.
Closnoc

1
@closetnoc 1% của một điều lớn vẫn là 1%.
Matt Nordhoff

1
@closetnoc Tất cả các công ty viễn thông đều có công suất hữu hạn. Không có telane lành mạnh chạy các cổng của họ ở bất cứ nơi nào gần 99%. (Tuy nhiên, một số người điên làm để tống tiền Netflix.) Nếu họ làm vậy, họ sẽ bị lừa mỗi khi một video âm nhạc mới của Justin Bieber xuất hiện trên YouTube.
Matt Nordhoff

3

Thực sự không có lý do gì để làm, ngoài chi phí của chính SSL.

Đối với một triển khai máy chủ web điển hình, SSL thêm ít chi phí.

Có các cuộc đàm phán về tiêu chuẩn http 2.0 để bắt buộc mã hóa: http://beta.slashdot.org/story/194289

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.