HTTPS puede lograr tres cosas:
- Autenticidad . Asegurarse de que se está comunicando con el propietario del dominio real.
- Confidencialidad . Asegurándose de que solo este propietario del dominio y usted puedan leer la comunicación.
- Integridad . Asegurarse de que el contenido no sea modificado por otra persona.
Probablemente todos estén de acuerdo en que HTTPS debería ser obligatorio al transmitir secretos (como contraseñas, datos bancarios, etc.).
Pero hay varios otros casos donde y por qué el uso de HTTPS puede ser beneficioso:
Los atacantes no pueden alterar el contenido solicitado.
Al usar HTTP, los espías pueden manipular el contenido que sus visitantes ven en su sitio web. Por ejemplo:
- Incluyendo malware en el software que ofrece para descargar.
- Censurando parte de su contenido. Cambiando tus expresiones de opinión.
- Inyección de anuncios.
- Reemplazar los datos de su cuenta de donaciones con los suyos.
Por supuesto, esto también se aplica al contenido enviado por sus usuarios, por ejemplo, ediciones wiki. Sin embargo, si sus usuarios son anónimos, el atacante podría "simular" ser un usuario de todos modos (a menos que el atacante sea un bot y haya alguna barrera efectiva de CAPTCHA).
Los atacantes no pueden leer el contenido solicitado.
Al usar HTTP, los espías pueden saber a qué páginas / contenido en su host acceden sus visitantes. Aunque el contenido en sí mismo puede ser público, el conocimiento que una persona específica consume es problemático:
- Abre un vector de ataque para la ingeniería social .
- Infringe la privacidad.
- Puede conducir a la vigilancia y el castigo (hasta el encarcelamiento, la tortura, la muerte).
Por supuesto, esto también se aplica al contenido enviado por sus usuarios, por ejemplo, correos electrónicos a través de un formulario de contacto.
Dicho todo esto, simplemente ofrecer HTTPS además de HTTP solo protegería a los usuarios que verifican (o hacen cumplir localmente, por ejemplo, con HSTS ) que lo están utilizando. Los atacantes podrían obligar a todos los demás visitantes a usar la variante HTTP (vulnerable).
Por lo tanto, si llega a la conclusión de que desea ofrecer HTTPS, es posible que desee considerar su aplicación (redirección del lado del servidor de HTTP a HTTPS, envíe el encabezado HSTS).