it-swarm.com.de

Der (Sicherheits-) Vorteil von SSL für den Websitebesitzer

Ich kenne die vielen Vorteile von SSL für die Benutzer einer Website. Es wird ein Vertrag erstellt, in dem der Benutzer sicher sein kann, dass die Entität, mit der er Geschäfte abwickelt, diejenige ist, für die er sich ausgibt, und dass die übergebenen Informationen verschlüsselt sind. Ich habe auch eine Vorstellung von anderen Vorteilen (z. B. Geschwindigkeitsvorteilen von HTTP/2).

Ich habe mich kürzlich gefragt, ob die Website in ähnlicher Weise von dieser Transaktion profitiert. Wird meine Website vor Angriffen sicherer, wenn ich SSL aktiviere? Ich nehme an, weil ich auch wissen würde, dass der Client, mit dem ich Transaktionen abwickle, zertifiziert ist und die Informationen, die ich ihnen sende, verschlüsselt sind. Aber kann kein Kunde unethisch handeln und mit selbstsignierten Zertifikaten usw. auf meine Website zugreifen und behaupten, wer immer er möchte?

Übrigens bin ich auf selbstgesteuerte Weise zu meinem Wissen gekommen. Wenn dies also eine grundlegende Frage oder ein XY-Problem ist, zögern Sie nicht, mich auf elementare Ressourcen oder Mengen zu verweisen mich gerade.

Bearbeiten: Für alle, die weiterhin mit allgemeinen Gründen für die Verwendung von SSL antworten oder kommentieren: Diese werden geschätzt und sind zweifellos für neue Benutzer von Nutzen. Trotzdem mache ich es zu einem Teil jeder Website, die ich eingerichtet habe, und war besonders neugierig auf die Sicherheitsvorteile. In der SE-Tradition möchte ich die Leute nur daran erinnern, wenn möglich bei der Frage zu bleiben. (Entschuldigung, dass dem Titel ursprünglich das Schlüsselqualifikationsmerkmal fehlt!)

50
Luke Sawczak

Sie haben ein paar gute Fragen und ein paar Missverständnisse. Versuchen wir, sie zu entwirren.


Ich habe auch eine Vorstellung von anderen Vorteilen (z. B. Geschwindigkeitsvorteilen von HTTP/2).

Ein weiterer wichtiger Punkt: Suchmaschinenoptimierung, da Sie GooglePoints für TLS erhalten. (Was Ihren Standpunkt bestätigt, dass Webmaster externe Anreize benötigen ...)


Ich nehme an, weil ich auch wissen würde, dass der Client, mit dem ich Transaktionen abwickle, zertifiziert ist und die Informationen, die ich ihnen sende, verschlüsselt sind. ... Aber kann kein Kunde mit selbstsignierten Zertifikaten auf meine Website zugreifen?

Ja und nein und ja, ... und nein. Lassen Sie uns das entwirren.

TLS-Clientauthentifizierung (Clients müssen Zertifikate vorlegen) wird normalerweise auf VPN-Servern, WPA2-WLAN-Zugangspunkten für Unternehmen und Unternehmensintranets angezeigt. Dies sind alles geschlossene Systeme, in denen der Systemadministrator die volle Kontrolle über die Ausstellung von Zertifikaten an Benutzer hat und diese verwenden, um zu steuern, welche Benutzer Zugriff auf welche Ressourcen haben. Dies macht in einer öffentlichen Website-Einstellung keinen Sinn und ist definitiv eine nicht standardmäßige Konfiguration für einen HTTPS-Webserver.

Das heißt, was Sie gewinnen, ist Folgendes:

Encrypted TLS session
| Client loads login page
| Client sends username / password
| Client does "logged in things"

Sie gewinnen also zusätzliches Vertrauen, dass der Benutzer der ist, von dem er sagt, dass er er ist, da der Benutzername/das Passwort nicht mehr im Klartext gesendet wird und es daher für einen Mann in der Mitte nicht mehr möglich ist, abzufangen/zu ändern/zu stehlen.

Danach werden alle Daten, die der Client an den Server sendet oder vom Server erhält, durchgehend mit dem Client verschlüsselt. Im Allgemeinen haben Sie Recht: Dies schützt den Client mehr als den Server, verhindert jedoch, dass Man-in-the-Middles böswilliges Material in Dateien injiziert, die der Benutzer hochlädt, und schädliche Befehle injiziert, die so ausgeführt werden, als ob sie von diesem Benutzer stammen .


Aber kann kein Kunde unethisch handeln und mit selbstsignierten Zertifikaten usw. auf meine Website zugreifen und behaupten, wer immer er möchte?

Ein bisschen ja. Für eine öffentliche Website kann jeder eine TLS-Verbindung öffnen. Wenn Sie möchten, dass sich Benutzer authentifizieren, müssen Sie über einen Anmeldemechanismus verfügen. TLS bietet diesen im Allgemeinen nicht für Sie an (es sei denn, Sie verwenden den oben genannten Client-Zertifizierungsmechanismus).


Ich habe mich kürzlich gefragt, ob die Website in ähnlicher Weise von dieser Transaktion profitiert.

Grundsätzlich hat der Server den Vorteil, dass alle an den Benutzer gesendeten Daten nur vom beabsichtigten Benutzer angezeigt werden. Wenn Sie ihnen beispielsweise Kopien ihres Jahresabschlusses zusenden, freuen sich Ihre Anwälte sehr darüber. Dies bedeutet auch, dass alle vom Benutzer empfangenen Daten tatsächlich von diesem Benutzer stammen und nicht von einem Angreifer, der vorgibt, sie zu sein.

Wenn Ihre legitimen Benutzer böswillig handeln, ist dies ein anderes Problem. Schließlich haben Sie gewählt, um ihnen Zugriff auf das System zu gewähren. TLS (+ Ihr eigenes Login-Framework) stellt sicher, dass nur legitime Benutzer Zugriff haben. Was sie mit diesem Zugriff machen, ist nicht das Problem von TLS.

59
Mike Ounsworth

Es verhindert, dass der ISP eigene Anzeigen einfügen anstelle Ihrer eigenen. Wenn Sie sich auf Werbung für Einnahmen verlassen, schützt https Ihre Einnahmequelle.

63
user15392

Einer der größten Vorteile für einen Site-Betreiber ist das erhöhte Vertrauen der Benutzer . Wir hoffen oft, dass sie das Vorhandensein von HTTPS überprüfen, bevor sie beispielsweise Kreditkartendaten in eine E-Commerce-Website eingeben, und das "grüne Schloss" eines EV-Zertifikats bietet eine zusätzliche Bestätigung, dass die Website von dem Unternehmen betrieben wird, für das sie sich ausgeben .

Wie groß der Effekt ist, weiß ich nicht. Das Stanford Web Credibility-Projekt enthält eine Sammlung von Empfehlungen, um eine Website glaubwürdig erscheinen zu lassen, und HTTPS wird nicht in der Liste angezeigt. Die dort zitierten Papiere sind zu diesem Zeitpunkt jedoch alle 15 bis 20 Jahre alt. In der Technologie hat sich damals viel geändert, aber die eigentliche Frage ist, wie sehr sich Menschen geändert haben.

HTTPS schützt nur den Transport gegen Schnüffeln oder Ändern, d. H. Gegen einen Angreifer zwischen Client und Server, jedoch nicht gegen einen Angreifer auf dem Server oder Client selbst. Es macht weder den Server selbst auf magische Weise sicherer, noch macht es den Client für den Server vertrauenswürdiger. Dies bedeutet, dass ein HTTPS-geschützter Server beispielsweise Malware bereitstellen kann und ein Client, der eine Verbindung zu HTTPS herstellt, weiterhin Sicherheitsprobleme auf der Serverseite wie SQL-Injection oder ähnliches ausnutzen kann.

8
Steffen Ullrich

Viele Browser (Firefox tut dies sehr deutlich) warnen Benutzer davor, ihre Passwörter auf nicht sicheren Websites einzugeben. Websitebesitzer möchten natürlich nicht, dass ihre Benutzer diese großen, beängstigenden Warnungen sehen (was im Fall von Firefox auch die Verwendung automatisch ausgefüllter Anmeldedaten schwierig macht), und die Sicherung ihrer Websites ist der einzige Weg, sie loszuwerden.

Wenn sich Benutzer auf der Website anmelden können, besteht ein starker Anreiz, die Sicherheit zu erhöhen. Dies ist ein externer Anreiz, der von Browser-Anbietern erzwungen wird.

5
TRiG

Ein Standard-SSL-Setup bietet dem Server per se keinen Sicherheitsvorteil. Sie wissen, dass der Datenverkehr zwei und von dem Endpunkt, der die verschlüsselte Anforderung gestellt hat, während der Übertragung nicht manipuliert wurde, aber es gibt keine Garantie dafür, dass der Endpunkt, der die Anforderung gestellt hat, nicht als MITM dient.

Es ist möglich, SSL so zu konfigurieren, dass Sie die Clients überprüfen können. Bei den meisten Webservern (Apache, Nginx, IIS usw.) können Sie Clientzertifikat-basierte Authentifizierungen einrichten. Dies bedeutet, dass jeder Client, der auf die Website zugreift, über ein eigenes eindeutiges Zertifikat verfügt und der Webserver keine Seiten für einen Client bereitstellt, der hat kein gültiges Zertifikat. Das Verteilen und Verwalten der Client-Zertifikate ist mit einem hohen Aufwand verbunden. Daher wird diese Art der Einrichtung normalerweise nur in Umgebungen mit einer begrenzten Anzahl von Clients durchgeführt, z. B. Intranet-Apps, APIs mit einer kleinen Anzahl von Benutzern usw.

3
Dan Landberg

Um hier Devil's Advocate zu spielen, TLS auf Ihrem Webserver aktivieren, wenn Sie es nicht benötigen (dh es werden keine vertraulichen Informationen zwischen Server und Client übertragen) könnte tatsächlich die Sicherheit verringern .

Aus dem einfachen Grund: Es fügt viel mehr Code hinzu und mehr Code bedeutet mehr Fehler und eine größere Angriffsfläche. Es kann also zu Problemen wie Heartbleed , Remotecodeausführung und anderen Problemen kommen, die Sie sonst nicht hätten.

Das Problem ist natürlich umstritten - es gibt ziemlich sicher mehr Fehler in dem Code, der in Ihrem dynamischen Web ausgeführt wird, als in der TLS-Bibliothek Ihres Webservers. Wenn Sie also nur einen sehr kleinen geprüften HTTP-Server mit nur statischem Inhalt ausführen, verringert sich die Sicherheit ist wahrscheinlich vernachlässigbar.

Und HTTPS (abgesehen davon, dass es eine gute Suchmaschinenoptimierung für Google und Freunde ist) schützt Sie möglicherweise vor einigen Übeln wie MitM-Angriffe (andererseits ist es aufgrund von Fehlern mit dem HTTPS-CA-Modell meistens eine "Wohlfühl" -Sicherheit "Da Sie gezwungen sind, Dutzenden von Zertifizierungsstellen zu" vertrauen ", die Sie haben absolut kein Grund, überhaupt zu vertrauen )

2
Matija Nalis

Bisher gute Antworten Ich möchte nur Folgendes hinzufügen:

Nicht jede TLS (ältere SLL) hat dieselbe Sicherheitsstufe, daher ist es gut, sie mit https://www.ssllabs.com/ssltest/ zu vergleichen.

Und TLSv3 weist einige Sicherheitslücken auf. Fordern Sie daher die Deaktivierung in der Serverkonfiguration an.

Ich werde nicht sagen, dass TLS im Vergleich zu MitM kugelsicher ist, da wir wissen, dass SSL-Stripping und HSTS-Bypass möglich sind, aber es für einen Angreifer viel schwieriger ist, dies zu tun, da er sich im selben Netzwerk wie der Benutzer befinden muss.

Der größte Vorteil neben der sicheren Kommunikation besteht darin, dass Sie ein besseres Google SEO-Ranking erhalten, da Websites mit TLS leichter nach oben gelangen, wie hier angegeben http://searchengineland.com/google-starts-giving-ranking-boost-secure-) httpsssl-sites-199446 .

Als Unternehmen hat der Endbenutzer, wenn er die Sperre im Webbrowser sieht, ein sichereres Gefühl. Ich weiß, dass es ein bisschen dumm ist, da ich viele statische Websites mit TLS/HTTPS eingerichtet habe, auf denen keine Daten vom Server oder zum Server übertragen wurden, aber nur von SEO und Endbenutzererfahrung.

2

Der Nutzen für den Websitebesitzer? Ihre Benutzer sind sicherer. Andere Websitebesitzer haben keinen wirklichen Vorteil, und deshalb verfügen viele Websites immer noch nicht über HTTPS/SSL (da das Einrichten von HTTP/SSL tatsächlich Arbeit erfordert, von der der Websitebesitzer keinen direkten Nutzen sieht).

Die Sicherheit der Benutzer sollte für Websitebesitzer die wichtigste Priorität sein, ist dies aber leider häufig nicht.

1
Micheal Johnson

SSL stellt sicher, dass Menschen nicht (leicht) vorgeben können, Sie zu sein. Das ist ein Plus. Wenn Sie mit personenbezogenen Daten (PII) arbeiten, bietet SSL zusätzliche Sicherheit, um zu verhindern, dass jemand die Informationen Ihres Kunden stiehlt. In vielen Ländern sind Sie gesetzlich verpflichtet, Maßnahmen zum Schutz der personenbezogenen Daten Ihrer Kunden zu ergreifen, und SSL ist eine der Möglichkeiten, wie Sie dies tun können.

Wenn Sie möchten, dass Ihre Website über Google gefunden wird, hat SSL den zusätzlichen Vorteil, dass es bringt Sie in den Suchergebnissen höher , wenn auch nur geringfügig.

1
Tijmen

Wie andere bereits betont haben, erhöht SSL (oder TLS) das Vertrauen Ihrer Benutzer .

Unbounce zitierte dies in einem aktueller Blog-Artikel :

Wie GlobalSign, ein Anbieter von Web-Trust-Zertifikaten, feststellte, gaben 84% der befragten Website-Besucher an, einen Kauf abzubrechen wenn sie wussten, dass die Daten über eine unsichere Verbindung gesendet werden würden .

Tatsächlich wirkt sich dies jetzt direkter auf Geschäftsinhaber aus: Google Chrome hat begonnen, Nicht-SSL-Sites als "nicht sicher" zu markieren .

SSL/TLS reduziert die Haftung gegenüber dem Websitebesitzer . Der Verkehr kann nicht leicht gefälscht oder abgefangen werden. Ihre streitigeren Kunden haben keinen Grund, Sie wegen Fahrlässigkeit zu verklagen.

Sie erhalten einen SEO-Schub in großen Suchmaschinen , einschließlich Google. Siehe https://moz.com/blog/seo-tips-https-ssl

Es kostet nicht viel . Mit Anbietern wie letsencrypt und AWS Certificate Manager sind kostenlose SSL/TLS-Zertifikate einfacher als je zuvor einzurichten

1
Dan Esparza