Si, absolutamente.
HTTP es completamente inseguro. Significa que no sabe si el servidor con el que está hablando es realmente con el que se supone que está hablando y toda su comunicación no está encriptada y es fácil de leer.
HTTPS es solo tráfico HTTP pero dentro de un túnel SSL / TLS que encripta efectivamente todo el tráfico entre usted y el servidor. Este tráfico sigue siendo imposible de leer para los atacantes. Los certificados SSL también le permiten verificar que el servidor es el correcto y que no se está conectando a otra persona en el medio.
- ¿Por qué las contraseñas no son más discretas?
- ¿Cuáles son las habilidades que tengo que adquirir para sobresalir en seguridad de la información?
- ¿El SO Unix es menos susceptible al malware * SOLO debido a cómo se creó desde cero o la falta de usuarios también tiene algo que ver con eso?
- ¿Debo deshabilitar Java como lo insta el Departamento de Seguridad Nacional?
- Si un país tan atrasado como Corea del Norte puede entrar fácilmente y minar los sistemas de TI de Sony, ¿qué posibilidades tenemos los demás?
El problema con Heartbleed es que los atacantes podrían leer lo que hay en la memoria RAM del servidor. Esto puede contener cualquier cosa, desde texto sin sentido al azar, nombres de usuario y contraseñas, o en casos excepcionales, el certificado de clave privada real utilizado por el servidor.
Si se captura la clave del certificado, el atacante puede leer el tráfico y configurar otro servidor para que actúe como el real, pero de nuevo, esto es raro. Muchos sitios ya han reemplazado sus certificados SSL por completo, por lo que incluso si alguno estuviera en peligro, ya no funcionarán.
Sin embargo, en general, HTTPS y SSL (la implementación y el protocolo) están bien y son absolutamente recomendables si desea asegurar su acceso.