¿Va sin certificados SSL?

Question

Estoy trabajando en un sitio web pequeño para una iglesia local. El sitio debe permitir a los administradores editar el contenido y publicar nuevos eventos/actualizaciones. La única información "segura" administrada por el sitio será la información de inicio de sesión de los administradores y un directorio de la iglesia con números de teléfono y direcciones.

¿Qué riesgos correría si tuviera que pasar por SSL y simplemente hacer que los usuarios inicien sesión utilizando HTTP directo? Normalmente ni siquiera consideraría esto, pero es una iglesia pequeña y necesitan ahorrar dinero siempre que sea posible.

Answer 1

Bueno, si no usa SSL, siempre correrá un mayor riesgo que alguien intente olfatear sus contraseñas. Probablemente solo necesite evaluar el factor de riesgo de su sitio.

También recuerde que incluso tener SSL no garantiza que sus datos estén seguros. En realidad, se trata de cómo se codifica para asegurarse de proporcionar la protección adicional a su sitio.

Sugeriría usar un algoritmo de encriptación de contraseña unidireccional y validar de esa manera.

Además, puede obtener certificados SSL realmente baratos, he usado Geotrust anteriormente y obtuve una certificación de 250.00. Estoy seguro de que hay aquellos que son más baratos.

Answer 2

HTTP sin formato es vulnerable al olfateo. Si no desea comprar certificados SSL, puede usar certificados autofirmados y pedirles a sus clientes que confíen en ese certificado para eludir la advertencia que muestra el navegador (ya que sus usuarios autenticados son solo unos pocos administradores conocidos, este enfoque lo perfecciona). sentido).

Answer 3

En el escenario que describe, los usuarios normales estarían expuestos al secuestro de sesión y toda su información también se transferiría "sin errores". A menos que use una CA confiable, los administradores pueden estar expuestos a un ataque Man-in-the-middle.

En lugar de un certificado autofirmado, es posible que desee considerar el uso de un certificado de CAcert e instalar sus certificadores de raíz en el navegador del administrador.

Answer 4

Dado que solo sus administradores usarán la sesión segura, solo use un certificado autofirmado. No es la mejor experiencia de usuario, pero es mejor mantener esa información segura.

Answer 5

Realistamente, es mucho más probable que una de las computadoras utilizadas para acceder al sitio web se vea comprometida por un registrador de teclas que la conexión HTTP será olfateada.

Answer 6

Utilice HTTPS con un certificado gratuito. StartCom es gratuito y está incluido en los navegadores Firefox; dado que solo sus administradores iniciarán sesión, pueden importar fácilmente la CA si desean usar IE.

No escatime en la seguridad. Anecdóticamente, he visto sitios web que suenan similares a los tuyos desfigurados solo por patadas. Es algo que vale la pena esforzarse por evitar.