Saya mulai melihat sebagian besar situs web mulai menggunakan SSL sebagai praktik standar untuk melihat situs web dengan aman sekarang berkat wahyu Edward Snowden tentang pengawasan NSA yang terjadi.
Haruskah kita menjadikannya standar web untuk membuat semua situs web menggunakan SSL untuk keamanan, melihat, pembayaran, dan di mana saja?
Saya memiliki blog pribadi yang sederhana, dan ada orang yang mengatakan saya perlu menggunakannya karena saya menyuarakan pendapat, keprihatinan, dan ide saya mengenai subjek NSA, dan mereka mengatakan mereka mulai merasa kurang aman tanpa HTTPS ...
Jawaban:
Pertanyaan menarik. Namun, jawaban yang jelas adalah jika saya bisa mendapatkan situs web dengan browser, maka NSA juga bisa mendapatkannya. Saya tidak mencoba menjadi orang pintar dalam hal ini. SSL harus digunakan untuk login akun, pembayaran, dll. Sebagai pekerjaan biasa, itu tidak perlu.
Karena itu, saya mendukung SSL lebih dari yang tersirat dalam jawaban ini. Jika Anda seorang blogger, maka saya tidak akan menggunakan SSL. Jika Anda mengatakan hal-hal yang Anda inginkan pribadi bahkan dalam keadaan tertentu, maka Anda tidak boleh mempostingnya atau meletakkannya di belakang login untuk mengontrol siapa yang melihatnya.
Ingatlah bahwa web adalah kendaraan komunikasi terbuka. Ini dirancang dan diarahkan untuk ini. Kendaraan komunikasi pribadi tidak pilih-pilih dengan siapa ia terhubung dan berbagi informasi dengan dan sering menyebarkan banyak skema keamanan untuk memastikan komunikasi yang aman. Web dirancang untuk terhubung dengan mudah dan secara anonim dengan klien apa pun dan berbagi semua atau hampir semua informasi yang dimilikinya. Ya ada opsi untuk mengamankan komunikasi web ke suatu titik, namun, itu akan selalu terbatas karena sifatnya.
sumber
HTTPS dapat mencapai tiga hal:
Mungkin semua orang setuju bahwa HTTPS harus wajib ketika mengirimkan rahasia (seperti kata sandi, data perbankan, dll.).
Tetapi ada beberapa kasus lain di mana dan mengapa penggunaan HTTPS dapat bermanfaat:
Penyerang tidak dapat merusak konten yang diminta.
Saat menggunakan HTTP, eavesdropper dapat memanipulasi konten yang dilihat pengunjung Anda di situs web Anda. Sebagai contoh:
Tentu saja ini juga berlaku untuk konten yang dikirim oleh pengguna Anda, misalnya suntingan wiki. Namun, jika pengguna Anda anonim, penyerang bisa "mensimulasikan" menjadi pengguna (kecuali penyerang adalah bot dan ada beberapa penghalang CAPTCHA yang efektif).
Penyerang tidak dapat membaca konten yang diminta.
Saat menggunakan HTTP, eavesdropper dapat mengetahui halaman / konten mana di host Anda yang diakses pengunjung Anda. Meskipun kontennya sendiri bersifat publik, pengetahuan yang dikonsumsi seseorang itu bermasalah:
Tentu saja ini juga berlaku untuk konten yang dikirim oleh pengguna Anda, misalnya surat melalui formulir kontak.
Semua yang dikatakan, hanya menawarkan HTTPS selain HTTP hanya akan melindungi pengguna yang memeriksa (atau memberlakukan secara lokal, misalnya dengan HSTS ) yang mereka gunakan. Penyerang bisa memaksa semua pengunjung lain untuk menggunakan varian HTTP (rentan).
Jadi jika Anda sampai pada kesimpulan bahwa Anda ingin menawarkan HTTPS, Anda mungkin ingin mempertimbangkan untuk menegakkannya (pengalihan sisi-server dari HTTP ke HTTPS, kirim tajuk HSTS).
sumber
Kerahasiaan
Karena konten Anda bersifat publik, HTTPS jelas tidak akan menyembunyikannya, tetapi mungkin memberikan beberapa manfaat tergantung pada sifat situs Anda.
Pribadi
Ketika seseorang meminta halaman melalui HTTPS, permintaan dienkripsi, jadi jika seseorang mengawasi pengunjung Anda, mereka tidak akan tahu halaman mana yang mereka minta. Sayangnya, DNS (sistem untuk mendapatkan alamat IP berdasarkan nama domain situs web Anda) tidak dienkripsi, sehingga pengamat masih bisa mengidentifikasi siapa yang mengunjungi situs web Anda. Bahkan jika itu dienkripsi, dalam banyak kasus Anda masih bisa mengetahui situs web seseorang yang dikunjungi berdasarkan alamat IP, yang tidak dapat disembunyikan dalam desain internet saat ini.
Wikipedia menawarkan HTTPS, yang menurut Anda tidak ada gunanya karena kontennya bersifat publik, tetapi dengan melakukan ini mereka melindungi pengguna mereka: Jika seseorang mencari hal-hal "tidak patriotik" di Wikipedia (menggunakan HTTPS), pemerintah mereka tidak dapat menentukan halaman mana yang mereka Sedang membaca, hanya saja mereka ada di Wikipedia. Twitter adalah kasus lain bahwa konten itu sendiri bersifat publik, tetapi orang-orang tidak selalu ingin orang lain tahu apa yang mereka lakukan.
Keamanan Kata Sandi
Alasan utama lain yang mungkin ingin Anda pertimbangkan HTTPS adalah jika Anda memiliki halaman login atau tempat lain di mana Anda menerima data pribadi dari pengguna (termasuk diri Anda sendiri). Jika Anda sama sekali tidak mendukung HTTPS, kata sandi dan informasi lainnya akan dikirim "dengan jelas", dan siapa pun yang dapat membaca data jaringan dapat melihatnya (kasus menakutkan yang digunakan adalah orang lain di jaringan wifi yang sama dengan Anda; sekarang ini juga termasuk berbagai agen pemerintah yang mencari bahan pemerasan).
Jika Anda hanya mendukung HTTPS di halaman login, tetapi tidak di tempat lain, penyerang yang cerdik akan mencegat setiap halaman kecuali halaman login, dan mengubah tautan "Login" untuk tidak menggunakan HTTPS, kemudian menyadap komunikasi Anda (dan jika Anda memaksa halaman itu ke HTTPS, mereka hanya dapat mencegat lalu lintas dan menyediakan versi palsu yang berfungsi). Anda dapat mencegah hal ini dengan selalu memeriksa ikon kunci di bilah URL Anda sebelum masuk, tetapi hampir tidak ada yang ingat untuk melakukannya setiap waktu.
sumber
Saya sebagian besar setuju dengan poin Closetnoc, tetapi ada hal lain yang terlewatkan: Pengguna Tor memerlukan versi SSL untuk mencegah keluarnya node dari penyadapan .
Jika Anda mencurigai ada pembaca yang menggunakan Tor, Anda harus mengaktifkan SSL sebagai praktik.
Juga, memberi +1 pada poin Max Reid: setidaknya, Anda membantu menormalkan penggunaan enkripsi untuk lalu lintas yang tidak penting, sehingga meningkatkan upaya yang perlu dilakukan oleh agen intelijen untuk mengidentifikasi paket yang diinginkan.
sumber
Sebenarnya tidak ada alasan untuk tidak melakukannya, selain biaya SSL itu sendiri.
Untuk penyebaran server web tipikal SSL menambahkan sedikit overhead.
Ada pembicaraan untuk standar http 2.0 untuk membuat enkripsi wajib: http://beta.slashdot.org/story/194289
sumber