Safari non avvisa sulla mancata corrispondenza del nome host del certificato SSL

1

Per qualche motivo (ad esempio, impostazione delle preferenze errate, forse?) Safari 6.0.5, su OS X 10.8.4, non riesce a darmi un Avviso certificato SSL quando visito un sito il cui nome host non corrisponde al nome host vincolato al certificato del sito.

Di seguito sono riprodotte le informazioni sul certificato che Safari mi ha fornito, ma solo quando ho fatto clic sull'icona "https" situata tra la favicon e il nome host (con nome di dominio redatto). Indica chiaramente che il certificato non è valido per il nome host.

Credochequesteinformazionisullamancatacorrispondenzadelnomehostdovesseroapparireinunavvertitorediavvisocontenenteilmessaggio:

Safarican'tverifytheidentityofthewebsite"sbxstg.redacted.com"

Ma non mi è stato dato alcun notificante; solo una barra degli indirizzi il cui contenuto fa apparire che tutto è andato bene e senza errori, e che ho una connessione sicura con il titolare del certificato. (!!)

Qualcuno può dirmi dove devo cercare di riattivare la funzione di avviso, se in qualche modo l'ho spento inavvertitamente?

D'altra parte, è possibile che io abbia trovato un caso d'angolo / bug in Safari? Tieni presente che il dominio a cui Safari si basa sul certificato è semplicemente redatto .com e non *. redatto .com. Potrebbe forse confondere l'algoritmo utilizzato da Safari per decidere se visualizzare l'avviso?

Per quello che vale, Firefox 21.0 in esecuzione sullo stesso Mac mi dà il messaggio "Questa connessione non è affidabile", affermando nella sezione Dettagli tecnici che:

sbxstg.redacted.com uses an invalid security certificate.

The certificate is only valid for the following names:

redacted.com , www.redacted.com."

Aggiornamento: sono stato in grado di riprodurre questo comportamento su Safari 6.2.3, ma solo dopo ottenere un notificatore iniziale che mi avvisava che c'era un problema con certificato ("Safari non può verificare l'identità del sito web sbxstg.redacted.com. Il certificato per questo sito Web non è valido ...").

Dopo aver cliccato su "Continua", tuttavia, i tentativi successivi di caricare il collegamento sembravano funzionare come descritto nel mio post originale (es. , nessun avvertimento modale ovvio - solo quello che è nascosto fino alla visualizzazione delle informazioni del certificato).

Quindi sembra che tu abbia una possibilità. E se decidi "dannatamente i siluri", allora è su di te per sempre dopo aver ricordato che c'è qualcosa di pazzesco nel sito / certificato, perché hai effettivamente "disattivato" l'avviso in-the-face per quel particolare sito. (Io teorizzo che quando ho originariamente postato questa domanda, devo aver già premuto "Continua" in qualche punto precedente, e non ricordo di averlo fatto.)

Quindi rimane la domanda: come posso riattivare la funzione di avviso?

    
posta Hephaestus 15.09.2013 - 02:02
fonte

2 risposte

1

Quindi, come notato nell'aggiornamento, Safari fa in realtà ti avvisa - una volta.

Se decidi di procedere comunque, quindi per il resto della sessione del browser , devi ricordare che stai parlando con un server potenzialmente compromesso, perché non vedrai alcuna prova di ciò < em> tranne esaminando il certificato (facendo clic sull'icona https / lucchetto).

Tuttavia, uscendo da Safari e riavviandolo ripristina l'avviso. Una visita al sito compromesso nella nuova istanza del browser presenta ancora una volta l'avviso.

    
risposta data 11.03.2015 - 05:53
fonte
0

Il server potrebbe avere Nome alternativo soggetto .

Puoi verificare lo stesso eseguendo il seguente comando in Terminal.app

$ echo "" | openssl s_client -connect www.youtube.com:443 | openssl x509 -text | grep -i -A 5 'Nome alternativo oggetto X509v3'

    
risposta data 05.12.2013 - 14:55
fonte

Leggi altre domande sui tag