Die Frage steht im Titel.
Muss eine interne Site sicher sein https?
Zum Beispiel haben wir eine interne Site, die die Lizenzschlüssel unserer Kunden verwaltet. Müssen diese sicher sein, da sie sich in unserem internen Netzwerk befinden?
(Die Website ist mit IIS- und Windows-Benutzerüberprüfung gesichert.)
Antworten:
Wenn der Inhalt Ihres Netzwerks vertraulich ist und Benutzer nicht über die erforderlichen Berechtigungen verfügen, um einen Teil oder den gesamten Inhalt anzuzeigen, sollten Sie SSL in Ihrem Intranet verwenden. Glücklicherweise ist das Einrichten von SSL in Ihrem Intranet nicht schwierig und Sie können ein selbstsigniertes Zertifikat verwenden, da die Identität Ihres Unternehmens nicht überprüft werden muss.
Wenn Sie für Ihre Besucher im selben Netzwerk einen offenen drahtlosen Zugang haben und dieser nicht über https bereitgestellt wird, können Besucher den Netzwerkverkehr anderer Personen in Ihrem Intranet problemlos abfangen.
Wenn Sie Windows-Kennwörter zur Anmeldung verwenden, sollten Sie auch SSL verwenden. (Dies ist wichtiger, wenn Sie die grundlegende Authentifizierung zulassen.) Dies dient dazu, eine Eskalation von Berechtigungen sowohl für Ihre eigenen Benutzer als auch als mehrschichtige Sicherheitsstrategie zu vermeiden.