Paksa Menggunakan SSL di Situs sekarang?

22

Saya mulai melihat sebagian besar situs web mulai menggunakan SSL sebagai praktik standar untuk melihat situs web dengan aman sekarang berkat wahyu Edward Snowden tentang pengawasan NSA yang terjadi.

Haruskah kita menjadikannya standar web untuk membuat semua situs web menggunakan SSL untuk keamanan, melihat, pembayaran, dan di mana saja?

Saya memiliki blog pribadi yang sederhana, dan ada orang yang mengatakan saya perlu menggunakannya karena saya menyuarakan pendapat, keprihatinan, dan ide saya mengenai subjek NSA, dan mereka mengatakan mereka mulai merasa kurang aman tanpa HTTPS ...

security https aendrew
sumber
3
Pertimbangkan untuk menawarkan TLS hanya untuk meningkatkan jumlah lalu lintas terenkripsi di web sehingga mempersulit orang jahat untuk membedakan lalu lintas konspirasi dan membosankan.
Max Ried

Jawaban:

5

Pertanyaan menarik. Namun, jawaban yang jelas adalah jika saya bisa mendapatkan situs web dengan browser, maka NSA juga bisa mendapatkannya. Saya tidak mencoba menjadi orang pintar dalam hal ini. SSL harus digunakan untuk login akun, pembayaran, dll. Sebagai pekerjaan biasa, itu tidak perlu.

Karena itu, saya mendukung SSL lebih dari yang tersirat dalam jawaban ini. Jika Anda seorang blogger, maka saya tidak akan menggunakan SSL. Jika Anda mengatakan hal-hal yang Anda inginkan pribadi bahkan dalam keadaan tertentu, maka Anda tidak boleh mempostingnya atau meletakkannya di belakang login untuk mengontrol siapa yang melihatnya.

Ingatlah bahwa web adalah kendaraan komunikasi terbuka. Ini dirancang dan diarahkan untuk ini. Kendaraan komunikasi pribadi tidak pilih-pilih dengan siapa ia terhubung dan berbagi informasi dengan dan sering menyebarkan banyak skema keamanan untuk memastikan komunikasi yang aman. Web dirancang untuk terhubung dengan mudah dan secara anonim dengan klien apa pun dan berbagi semua atau hampir semua informasi yang dimilikinya. Ya ada opsi untuk mengamankan komunikasi web ke suatu titik, namun, itu akan selalu terbatas karena sifatnya.

closetnoc
sumber
Kamu ternyata memiliki sebuah maksud. Sertifikat SSL menjaga mereka dari mengintip dan menempatkan orang pada "daftar" untuk menjadi pengunjung karena saya mengatakan yang sebenarnya dan menganalisis tindakan mereka dan menampar mereka ke neraka dan kembali untuk itu ...
Baik. Saya akan membiarkan Anda rahasia. Saya adalah seorang semi-pensiunan konsultan untuk telekomunikasi utama. Tidak ada paket terenkripsi yang kami tidak dapat mendekripsi. Itu membutuhkan peralatan khusus, tetapi peralatan itu mudah didapat. Sniffer kami jarang mengalami masalah dengan enkripsi termasuk komunikasi terenkripsi ganda. Mungkin memang lebih sulit akhir-akhir ini. Juga, saya Intel Naval sebelum bekerja dengan DoD. Saya yakin bahwa jika NSA ingin melihat komunikasi terenkripsi Anda, mereka dapat melakukannya. Sekarang saya akan memberi tahu Anda bahwa secara umum, mereka tidak peduli dengan apa yang Anda katakan selama Anda tidak berbicara dengan seorang teroris.
closetnoc
Terpikir oleh saya bahwa saya harus mengatakan bahwa saya tidak suka apa yang NSA lakukan dan saya pikir itu tidak benar. Bukan itu. Saya juga ingin menunjukkan bahwa beban lalu lintas sedemikian rupa sehingga mereka tidak dapat melihat semuanya dan juga tidak akan mencoba. Apa yang paling penting bagi mereka terlebih dahulu adalah informasi header paket untuk menetapkan komunikasi point to point yang mencurigakan sebelum memeriksa paket apa pun. Karena itu, siapa pun yang mengunjungi blog Anda tidak akan mengendus kecuali Osama bereinkarnasi atau mungkin sepupunya. (humor)
closetnoc
Kemudian SLL dikompromikan oleh Anda dan siapa pun dengan keterampilan Anda, itulah cara saya mengambil ini ... Ditambah Wahyu oleh Edward Snowden dan apa yang dirilis tidak berarti mereka merekam segala sesuatu tentang kita, ketika dikatakan mereka? Atau membaca kebocoran ini untuk diri saya sendiri tentang apa yang telah dilakukan dan yang dilakukan NSA tidak akurat?
Maaf untuk beberapa pertanyaan terakhir. Hanya ada banyak hal yang tidak masuk akal dengan semua hal ini yang terjadi.
6

HTTPS dapat mencapai tiga hal:

  • Keaslian . Pastikan Anda berkomunikasi dengan pemilik domain asli.
  • Kerahasiaan . Pastikan hanya pemilik domain ini dan Anda dapat membaca komunikasi.
  • Integritas . Memastikan bahwa konten tidak dimodifikasi oleh orang lain.

Mungkin semua orang setuju bahwa HTTPS harus wajib ketika mengirimkan rahasia (seperti kata sandi, data perbankan, dll.).

Tetapi ada beberapa kasus lain di mana dan mengapa penggunaan HTTPS dapat bermanfaat:

Penyerang tidak dapat merusak konten yang diminta.

Saat menggunakan HTTP, eavesdropper dapat memanipulasi konten yang dilihat pengunjung Anda di situs web Anda. Sebagai contoh:

  • Termasuk malware dalam perangkat lunak yang Anda tawarkan untuk diunduh.
  • Menyensor beberapa konten Anda. Mengubah ekspresi pendapat Anda.
  • Menyuntikkan iklan.
  • Mengganti data akun donasi Anda dengan milik mereka.

Tentu saja ini juga berlaku untuk konten yang dikirim oleh pengguna Anda, misalnya suntingan wiki. Namun, jika pengguna Anda anonim, penyerang bisa "mensimulasikan" menjadi pengguna (kecuali penyerang adalah bot dan ada beberapa penghalang CAPTCHA yang efektif).

Penyerang tidak dapat membaca konten yang diminta.

Saat menggunakan HTTP, eavesdropper dapat mengetahui halaman / konten mana di host Anda yang diakses pengunjung Anda. Meskipun kontennya sendiri bersifat publik, pengetahuan yang dikonsumsi seseorang itu bermasalah:

  • Ini membuka vektor serangan untuk rekayasa sosial .
  • Itu melanggar privasi.
  • Ini bisa mengarah pada pengawasan dan hukuman (hingga dipenjara, disiksa, mati).

Tentu saja ini juga berlaku untuk konten yang dikirim oleh pengguna Anda, misalnya surat melalui formulir kontak.

Semua yang dikatakan, hanya menawarkan HTTPS selain HTTP hanya akan melindungi pengguna yang memeriksa (atau memberlakukan secara lokal, misalnya dengan HSTS ) yang mereka gunakan. Penyerang bisa memaksa semua pengunjung lain untuk menggunakan varian HTTP (rentan).

Jadi jika Anda sampai pada kesimpulan bahwa Anda ingin menawarkan HTTPS, Anda mungkin ingin mempertimbangkan untuk menegakkannya (pengalihan sisi-server dari HTTP ke HTTPS, kirim tajuk HSTS).

unor
sumber
1
Cukup menghindari suntikan iklan sudah cukup untuk membuat saya beralih situs info saya ke SSL.
Bill Ruppert
4

Kerahasiaan

Karena konten Anda bersifat publik, HTTPS jelas tidak akan menyembunyikannya, tetapi mungkin memberikan beberapa manfaat tergantung pada sifat situs Anda.

Pribadi

Ketika seseorang meminta halaman melalui HTTPS, permintaan dienkripsi, jadi jika seseorang mengawasi pengunjung Anda, mereka tidak akan tahu halaman mana yang mereka minta. Sayangnya, DNS (sistem untuk mendapatkan alamat IP berdasarkan nama domain situs web Anda) tidak dienkripsi, sehingga pengamat masih bisa mengidentifikasi siapa yang mengunjungi situs web Anda. Bahkan jika itu dienkripsi, dalam banyak kasus Anda masih bisa mengetahui situs web seseorang yang dikunjungi berdasarkan alamat IP, yang tidak dapat disembunyikan dalam desain internet saat ini.

Wikipedia menawarkan HTTPS, yang menurut Anda tidak ada gunanya karena kontennya bersifat publik, tetapi dengan melakukan ini mereka melindungi pengguna mereka: Jika seseorang mencari hal-hal "tidak patriotik" di Wikipedia (menggunakan HTTPS), pemerintah mereka tidak dapat menentukan halaman mana yang mereka Sedang membaca, hanya saja mereka ada di Wikipedia. Twitter adalah kasus lain bahwa konten itu sendiri bersifat publik, tetapi orang-orang tidak selalu ingin orang lain tahu apa yang mereka lakukan.

Keamanan Kata Sandi

Alasan utama lain yang mungkin ingin Anda pertimbangkan HTTPS adalah jika Anda memiliki halaman login atau tempat lain di mana Anda menerima data pribadi dari pengguna (termasuk diri Anda sendiri). Jika Anda sama sekali tidak mendukung HTTPS, kata sandi dan informasi lainnya akan dikirim "dengan jelas", dan siapa pun yang dapat membaca data jaringan dapat melihatnya (kasus menakutkan yang digunakan adalah orang lain di jaringan wifi yang sama dengan Anda; sekarang ini juga termasuk berbagai agen pemerintah yang mencari bahan pemerasan).

Jika Anda hanya mendukung HTTPS di halaman login, tetapi tidak di tempat lain, penyerang yang cerdik akan mencegat setiap halaman kecuali halaman login, dan mengubah tautan "Login" untuk tidak menggunakan HTTPS, kemudian menyadap komunikasi Anda (dan jika Anda memaksa halaman itu ke HTTPS, mereka hanya dapat mencegat lalu lintas dan menyediakan versi palsu yang berfungsi). Anda dapat mencegah hal ini dengan selalu memeriksa ikon kunci di bilah URL Anda sebelum masuk, tetapi hampir tidak ada yang ingat untuk melakukannya setiap waktu.

Pasang kembali Monica
sumber
3

Saya sebagian besar setuju dengan poin Closetnoc, tetapi ada hal lain yang terlewatkan: Pengguna Tor memerlukan versi SSL untuk mencegah keluarnya node dari penyadapan .

Jika Anda mencurigai ada pembaca yang menggunakan Tor, Anda harus mengaktifkan SSL sebagai praktik.

Juga, memberi +1 pada poin Max Reid: setidaknya, Anda membantu menormalkan penggunaan enkripsi untuk lalu lintas yang tidak penting, sehingga meningkatkan upaya yang perlu dilakukan oleh agen intelijen untuk mengidentifikasi paket yang diinginkan.

aendrew
sumber
Saya suka gagasan membuat hidup NSA lebih sulit. Sayangnya, itu bisa membuat hidup lebih sulit untuk serba. Lebih banyak siklus CPU, transfer data yang lebih besar, lebih banyak paket, kecepatan transfer yang lebih lambat, dll. Tentu saja ini hanya tetesan kecil per situs, tetapi cukup banyak situs dan Anda mungkin memiliki masalah nyata apalagi apa yang dilakukan NSA. Tahan. NSA akan memiliki simpul yang tersentak ke ekornya segera setelah 2016 mendekati. Sekarang ini hanya api kecil di bawah $.
closetnoc
4
@closetnoc TLS meningkatkan ukuran transfer, seperti apa, 1%? Dan setiap CPU semi-modern dapat menangani semua crypto yang bisa dipikirkan oleh browser web. Apa masalahnya?
Matt Nordhoff
Saya setuju. Saya menyebutnya tetesan kecil. Mungkin lebih seperti tetesan super kecil. Tapi saya curiga bahwa tetesan super kecil akan benar-benar mempengaruhi kehidupan. Pikirkan tentang cakupan web dan jika semua orang bermigrasi ke SSL, itu akan bertambah cepat. Mungkin tidak menurunkan jaring, tetapi efeknya akan terasa saya yakin.
closetnoc
1
@closetnoc 1% dari hal besar masih 1%.
Matt Nordhoff
1
@closetnoc Semua perusahaan telekomunikasi memiliki kapasitas yang terbatas. Tidak ada perusahaan telekomunikasi yang menjalankan port mereka di dekat 99%. (Namun, ada beberapa yang gila untuk memeras Netflix.) Jika mereka melakukannya, mereka akan kacau setiap kali video musik Justin Bieber baru naik di YouTube.
Matt Nordhoff
3

Sebenarnya tidak ada alasan untuk tidak melakukannya, selain biaya SSL itu sendiri.

Untuk penyebaran server web tipikal SSL menambahkan sedikit overhead.

Ada pembicaraan untuk standar http 2.0 untuk membuat enkripsi wajib: http://beta.slashdot.org/story/194289

Alex KeySmith
sumber