지금 사이트에서 SSL을 사용합니까?

현재 NSA 감시에 대한 Edward Snowden의 계시 덕분에 SSL을 웹 사이트를 안전하게 볼 수있는 표준 사례로 사용하기 시작한 대다수의 웹 사이트를보기 시작했습니다.

모든 웹 사이트에서 SSL을 사용하여 보안,보기, 지불 및 모든 곳에서 사용할 수 있도록 웹 표준으로 만들어야합니까?

나는 간단한 개인 블로그를 소유하고 있으며 사람들에게 NSA 주제에 관한 의견, 우려 및 아이디어를 표명하기 때문에 블로그를 사용해야한다고 말하고 HTTPS없이 보안이 덜 느끼기 시작한다고 말합니다.

흥미로운 질문입니다. 그러나 브라우저가있는 웹 사이트를 얻을 수 있다면 NSA도 얻을 수 있습니다. 나는 이것에 대해 똑똑한 바지가 되려고하지 않습니다. 계정 로그인, 지불 등에 SSL을 사용해야합니다. 일반적인 작업 과정에서는 필요하지 않습니다.

말했듯이, 나는이 대답이 의미하는 것보다 SSL을 더 많이 지원합니다. 블로거라면 SSL을 사용하지 않을 것입니다. 특정 상황에서도 비공개로 원하는 것을 말하고 있다면 그것을 보거나 로그인 뒤에 두어서는 안됩니다.

웹은 개방형 통신 수단입니다. 그것은 디자인되고 이것에 맞춰져 있습니다. 개인 통신 수단은 보안 통신을 위해 정보를 연결하고 정보를 공유하는 사람에게 무차별하지 않으며 종종 수많은 보안 체계를 배포합니다. 웹은 모든 클라이언트와 쉽고 익명으로 연결하고 모든 정보 또는 거의 모든 정보를 공유하도록 설계되었습니다. 예. 웹 커뮤니케이션을 특정 지점으로 보호하기위한 옵션이 있지만 그 특성상 항상 제한적입니다.

HTTPS는 다음 세 가지를 달성 할 수 있습니다.

• 진품 . 실제 도메인 소유자와 통신하고 있는지 확인하십시오.
• 기밀 유지 . 이 도메인 소유자 만 통신을 읽을 수 있는지 확인하십시오.
• 무결성 . 다른 사람이 내용을 수정하지 않도록합니다.

암호, 은행 데이터 등과 같은 비밀 정보를 전송할 때 HTTPS가 필수적이어야한다는 데 모든 사람이 동의 할 것입니다.

그러나 HTTPS 사용이 유리할 수있는 몇 가지 다른 경우가 있습니다.

공격자는 요청 된 콘텐츠를 변조 할 수 없습니다.

HTTP를 사용할 때 도청자는 방문자가 웹 사이트에서 보는 컨텐츠를 조작 할 수 있습니다. 예를 들면 다음과 같습니다.

• 다운로드 할 소프트웨어에 맬웨어를 포함시킵니다.
• 일부 컨텐츠 검열 의견 표현의 변화.
• 광고를 주입합니다.
• 기부 계정의 데이터를 자신의 것으로 바꾸십시오.

물론 이것은 위키 편집과 같이 사용자가 보낸 컨텐츠에도 적용됩니다. 그러나 사용자가 익명 인 경우 공격자가 봇이고 효과적인 보안 문자 장벽이없는 한 공격자는 사용자를 "시뮬레이션"할 수 있습니다.

공격자는 요청 된 콘텐츠를 읽을 수 없습니다.

HTTP를 사용할 때 도청자는 방문자가 액세스하는 호스트의 페이지 / 콘텐츠를 알 수 있습니다. 내용 자체는 공개적 일 수 있지만 특정 사람이 소비한다는 지식은 문제가 있습니다.

• 사회 공학을 위한 공격 경로를 엽니 다 .
• 개인 정보를 침해합니다.
• 그것은 감시와 처벌로 이어질 수 있습니다 (감금, 고문, 사망까지).

물론 이것은 사용자가 보낸 양식 (예 : 연락처 양식을 통한 메일)에도 적용됩니다.

그러나 단순히 HTTP 외에도 HTTPS 를 제공 하면 사용중인 사용자를 HSTS 로 확인하는 로컬 사용자 만 보호 할 수 있습니다. 공격자는 다른 모든 방문자가 (취약한) HTTP 변형을 사용하도록 할 수 있습니다.

따라서 HTTPS를 제공하려는 결론에 도달하면이를 시행 하는 것이 좋습니다 (HTTP에서 HTTPS 로의 서버 측 리디렉션, HSTS 헤더 전송).

비밀

콘텐츠는 공개이므로 HTTPS는 분명히 숨기지 않지만 사이트의 특성에 따라 몇 가지 이점을 제공 할 수 있습니다.

은둔

누군가 HTTPS를 통해 페이지를 요청하면 요청이 암호화되므로 방문자를보고있는 경우 요청한 페이지를 알 수 없습니다. 안타깝게도 DNS (웹 사이트의 도메인 이름을 기반으로 IP 주소를 얻는 시스템)는 암호화되지 않으므로 관찰자는 여전히 웹 사이트를 방문한 사람을 식별 할 수 있습니다. 암호화 된 경우에도 대부분의 경우 인터넷의 현재 디자인에 숨길 수없는 IP 주소를 기반으로 누군가가 방문하는 웹 사이트를 여전히 알 수 있습니다.

위키 백과는 HTTPS를 제공합니다. 콘텐츠가 공개되어 있기 때문에 무의미하다고 생각할 수 있지만,이를 통해 사용자를 보호 할 수 있습니다. 누군가가 위키 백과에서 "애국심이없는"것을 찾고있는 경우 (HTTPS 사용) 그들이 위키피디아에 있다는 것을 읽고 있습니다. 트위터는 콘텐츠 자체가 공개 된 또 하나의 사례이지만 사람들은 다른 사람들이 자신이하는 일을 알고 싶어하지 않아도됩니다.

비밀번호 보안

HTTPS를 고려해야 할 다른 주요 이유는 로그인 페이지 또는 사용자 (개인 포함)의 개인 데이터를 허용하는 다른 장소가있는 경우입니다. 전혀 HTTPS를 지원하지 않으면 비밀번호 및 기타 정보가 "명확하게"전송되며 네트워크 데이터를 읽을 수있는 사람은 누구나이를 볼 수 있습니다 (무서운 경우는 귀하와 동일한 Wi-Fi 네트워크에있는 다른 사람이었던 경우입니다). 이제 협박 자료를 찾는 다양한 정부 기관도 포함됩니다).

로그인 페이지에서 HTTPS 만 지원하고 다른 곳에서는 지원하지 않는 경우, 영리한 공격자는 로그인 페이지를 제외한 모든 페이지를 가로 채고 "로그인"링크를 변경하여 HTTPS를 사용하지 않도록 한 다음 통신을 가로 챕니다 (해당 페이지를 강제 실행하는 경우) HTTPS의 경우 트래픽을 가로 채어 작동하는 가짜 버전을 제공 할 수 있습니다. 로그인하기 전에 항상 URL 표시 줄에서 잠금 아이콘을 확인하여이를 방지 할 수 있지만 매번이를 기억하는 사람은 거의 없습니다.

Closetnoc의 요점에 크게 동의하지만 간과되는 또 다른 요점이 있습니다. Tor 사용자는 종료 노드가 도청하는 것을 막기 위해 SSL 버전이 필요합니다 .

독자가 Tor를 사용한다고 의심되는 경우, 실용적으로 SSL을 활성화해야합니다.

또한 Max Reid의 관점에서 +1 : 최소한 중요하지 않은 트래픽에 대한 암호화 사용을 정상화하는 데 도움이되므로, 정보 기관이 바람직한 패킷을 식별하기 위해 더 많은 노력을 기울여야합니다.

SSL 자체의 비용 외에는 그렇지 않은 이유가 없습니다.

A에 대한 일반적인 웹 서버 배포 SSL은 약간의 오버 헤드를 추가합니다.

암호화를 의무화하기 위해 http 2.0 표준에 대한 대화가 있습니다 : http://beta.slashdot.org/story/194289