La question est dans le titre.
Un site interne doit-il disposer de la sécurité https
?
Par exemple, nous avons un site interne qui gère les clés de licence de nos clients. Avons-nous besoin que cela soit sécurisé puisque cela se trouve sur notre réseau interne?
(Le site Web est sécurisé avec IIS et la validation de l'utilisateur Windows)
Si le contenu de votre réseau est sensible et que certains utilisateurs ne disposent pas des privilèges requis pour afficher tout ou partie de ce contenu, vous souhaiterez utiliser SSL sur votre intranet. Heureusement, la configuration de SSL sur votre intranet n’est pas difficile et vous pouvez utiliser un certificat auto-signé car il n’est pas nécessaire de vérifier l’identité de votre entreprise.
Si vos visiteurs disposent d'un accès sans fil ouvert sur le même réseau et qu'ils ne sont pas desservis par https, les visiteurs pourront facilement intercepter le trafic réseau des autres utilisateurs sur votre intranet.
Lorsque vous utilisez des mots de passe Windows pour vous connecter, vous devez également utiliser SSL. (Ceci est plus essentiel si vous autorisez une authentification de base). Ceci afin d'éviter une élévation de privilèges à la fois pour vos propres utilisateurs et en tant que stratégie de sécurité multicouche.