Perché il sito web della BBC chiede sempre un certificato personale e come posso evitare di darlo via?

Naviga le tue risposte
24

Dopo aver installato un certificato personale CAcert , ogni volta che atterro su sito meteoBBC mi chiede di identificarmi con un certificato.

  1. Perché fare un qualsiasi sito Web non dannoso a meno che non abbia richiesto di accedere per primo? Il rapporto del tempo è visibile, quindi non è come se fosse necessaria l'autenticazione per qualsiasi contenuto.
  2. La domanda del certificato viene richiesta ogni volta e un singolo errore di errore è sufficiente per fornire il mio certificato. Dal momento che non voglio che ciò accada, come faccio a dire ai browser di mai identificare su questo sito con un certificato? "Ricorda questa decisione" su Firefox non tiene conto della pressione di Annulla.

Screenshot di Firefox:

Sto utilizzando HTTPS ovunque .

    
posta l0b0 16.04.2014 - 08:53
fonte

1 risposta

41

Non dovresti preoccuparti di questo, il certificato contiene solo la tua chiave pubblica , che dovrebbe essere comunque pubblica. L'unico problema è la preoccupazione per la privacy di dare via le informazioni nel tuo certificato a qualsiasi sito che lo richieda.

Riepilogo del problema:

  • La pagina meteo della BBC ha una richiesta a http://www.live.bbc.co.uk .
  • HTTPS Ovunque sta modificando la richiesta in httpS://www.live.bbc.co.uk .
  • Il server HTTP in www.live.bbc.co.uk è configurato per richiedere un certificato client per connessioni sicure.

  • È probabile che la BBC voglia solo identificare i propri dipendenti per mostrare funzionalisti speciali nella pagina (modifica in linea degli articoli di notizie, correzioni, ecc.)

  • Ricorda: utilizzando HTTPS ovunque, stai ignorando il comportamento predefinito dei siti che stai visitando. Il problema che stai avendo è il risultato di ciò. La soluzione più rapida consiste nel disabilitare la regola / opzione HTTPS Ovunque per BBC.

Come ho trovato questo?

Ho scavato un po 'in Wireshark quando ho fatto una richiesta alla pagina meteo, e ho cercato chi mi sta mandando il messaggio TLS Richiesta Certificato. Ecco! (Credito a Daniel Kahn Gillmor per l'idea )

Perchéquestomessaggiononèstatovisualizzatoprima?

Perchéprimadiaverconfiguratoilcertificatodelclient,Firefoxavevapensatochenontiinteressavalacosadiautenticazionedelclient(dopotuttononavevinessuncertificatoinstallato,quindinonavrestiavutolapossibilitàdisceglierneuno).Dopoaveraggiuntouncertificato,Firefoxhainiziatoapensare"Forse il mio essere umano ha un certificato per questo sito". Il certificato può essere valido per qualsiasi numero di dominio se non esplicitamente specificato. (Nota: non sono sicuro che possa essere specificato esplicitamente)

Come posso farlo scomparire?

Hai un paio di opzioni qui. Puoi disattivare la regola BBC in HTTPS Everywhere perché t è supportata solo parzialmente in ogni caso (la BBC non ha ufficialmente abilitato HTTPS per la normale navigazione).

Un'altra soluzione potrebbe essere quella di configurare il browser per effettuare automaticamente la selezione. Dalle impostazioni / opzioni / configurazioni del tuo browser.

Perché qualsiasi sito Web non dannoso dovrebbe farlo se non ho richiesto di accedere per primo?

Convenienza. Hai un certificato valido? Sei connesso automaticamente dopo aver visitato il sito.

    
risposta data 16.04.2014 - 10:54
fonte

Leggi altre domande sui tag

Come progettare una rete domestica per dispositivi IoT? WebGL è un problema di sicurezza?