Sie haben ein paar gute Fragen und ein paar Missverständnisse. Versuchen wir, sie zu entwirren.
Ich habe auch eine Vorstellung von anderen Vorteilen (z. B. Geschwindigkeitsvorteilen von HTTP / 2).
Ein weiterer wichtiger Punkt Erstens: Suchmaschinenoptimierung, da Sie GooglePoints für TLS erhalten. (Das nährt Ihren Standpunkt, dass Webmaster externe Anreize benötigen ...)
Ich nehme an, weil ich auch wissen würde, dass der Client, mit dem ich Geschäfte abwickle, zertifiziert ist und Informationen, die ich ihnen sende ist verschlüsselt. ... Aber kann kein Kunde mit selbstsignierten Zertifikaten auf meine Website zugreifen?
Ja und nein und ja, ... und nein. Lassen Sie uns dies entwirren.
TLS-Clientauthentifizierung (bei der Clients Zertifikate vorlegen müssen) wird normalerweise auf VPN-Servern, WPA2-WLAN-Zugangspunkten für Unternehmen und Unternehmensintranets angezeigt. Dies sind alles geschlossene Systeme, in denen der Systemadministrator die volle Kontrolle über die Ausstellung von Zertifikaten an Benutzer hat und diese verwenden, um zu steuern, welche Benutzer Zugriff auf welche Ressourcen haben. Dies macht in einer öffentlichen Website-Einstellung keinen Sinn und ist definitiv eine nicht standardmäßige Konfiguration für einen HTTPS-Webserver.
Das heißt, Sie erhalten Folgendes:
Verschlüsselte TLS-Sitzung | Client lädt Anmeldeseite | Client sendet Benutzername / Passwort | Der Client führt "eingeloggte Dinge" aus.
Sie gewinnen also zusätzliches Vertrauen, dass der Benutzer der ist, für den er sich ausgibt, da der Benutzername / das Kennwort nicht mehr im Klartext gesendet wird und daher nicht mehr möglich ist für einen Mann in der Mitte zum Abfangen / Ändern / Stehlen.
Danach werden alle Daten, die der Client an den Server sendet oder vom Server erhält, durchgehend mit dem Client verschlüsselt. Im Allgemeinen haben Sie Recht: Dies schützt den Client mehr als den Server, verhindert jedoch, dass Man-in-the-Middles böswilliges Material in Dateien injiziert, die der Benutzer hochlädt, und schädliche Befehle injiziert, die so ausgeführt werden, als ob sie von diesem Benutzer stammen .
Aber kann kein Kunde unethisch handeln und mit selbstsignierten Zertifikaten usw. auf meine Website zugreifen und behaupten, wer immer er möchte?
Ein bisschen, ja. Für eine öffentliche Website kann jeder eine TLS-Verbindung öffnen. Wenn Benutzer sich authentifizieren sollen, muss ein Anmeldemechanismus vorhanden sein. TLS bietet diesen im Allgemeinen nicht für Sie an (es sei denn, Sie verwenden den oben genannten Client-Zertifizierungsmechanismus).
Aber ich habe mich kürzlich gefragt, ob die Website in ähnlicher Weise von dieser Transaktion profitiert.
Grundsätzlich sind die Vorteile für den Server, dass alle an den Benutzer gesendeten Daten Nur vom vorgesehenen Benutzer angezeigt werden. Wenn Sie ihnen beispielsweise Kopien ihres Jahresabschlusses zusenden, freuen sich Ihre Anwälte sehr darüber. Dies bedeutet auch, dass alle vom Benutzer empfangenen Daten tatsächlich von diesem Benutzer stammen und nicht von einem Angreifer, der vorgibt, sie zu sein.
Wenn Ihre legitimen Benutzer böswillig handeln, ist dies ein anderes Problem. Schließlich haben Sie ausgewählt, um ihnen Zugriff auf das System zu gewähren. TLS (+ Ihr eigenes Login-Framework) stellt sicher, dass nur legitime Benutzer Zugriff haben. Was sie mit diesem Zugriff machen, ist nicht das Problem von TLS.