L'accesso a più siti tramite HTTPS produce contenuti diversi e non correlati (Peugeot club tramite HTTPS)

Probabilmente si tratta di una configurazione errata del server, dal momento che tutti questi siti web sono pubblicati da 95.173.215.72 .

Quando apri uno dei siti web tramite HTTPS, il mio browser mi avverte che il nome comune del certificato, che deve corrispondere al dominio del sito web, non è valido.

Suppongo che quei siti Web non dovrebbero essere accessibili tramite HTTPS, dal momento che Apache non è configurato per fornire il certificato corretto e sembra caricare il sito Web predefinito ( forum.205gti.org ).

Per quanto ne so, questa non è una vulnerabilità di sicurezza.

You might also be asked to add a temporary security exception to view the content.

Questo è un problema tipico quando più siti condividono lo stesso indirizzo IP e alcuni di questi hanno abilitato HTTPS e altri no. In questo caso, spesso viene fornito un certificato e un sito predefiniti in cui l'oggetto dei certificati non corrisponde al dominio nell'URL e questo si traduce in un errore di convalida del certificato che porta all'avviso che vedi.

Dato che gli utenti non dovrebbero semplicemente fare clic su tali avvisi questo semplice significa che il sito è effettivamente (cioè per gli utenti che non ignorano gli avvertimenti) non disponibile da HTTPS. Ma non essere accessibile da HTTPS non è un problema di sicurezza da solo. In altre parole: non riesco a vedere un problema di sicurezza qui. E tu dichiari anche solo che c'è un problema di sicurezza, ma in realtà non ti spieghi che cosa sia esattamente. Tieni presente che i modi alternativi si occupano di una situazione in cui alcuni siti sullo stesso indirizzo IP hanno abilitato HTTPS e altri no. Invece di servire qualche sito di default alcune impostazioni semplicemente non servono a nulla, cioè causano qualche errore di connessione. Ma in sostanza entrambi i casi significano che non ci sarà contenuto pubblicato dall'utente.

Ma vedo un problema diverso: si presuppone che sia giusto ignorare gli avvisi espliciti del browser e continuare ad accedere al sito. Se hai questa mentalità, è facile montare un uomo nell'attacco centrale contro di te dal momento che semplicemente fai clic sugli stessi avvisi espliciti che ricevi dal browser quando visiti qualche sito mentre sei attaccato. E essere vulnerabili agli attacchi dell'uomo nel mezzo a causa di ignorare tali avvisi è il vero problema di sicurezza qui .

Cancellare alcune domande, può o non può dimostrare di rispondere alle domande immediate OP:

1. È possibile ottenere un certificato SSL per più domini.
2. Puoi ottenere un certificato SSL per un singolo IP.
3. L'errore generato su link è abbastanza esplicativo. Il server non è configurato correttamente in quanto il server sta tentando di utilizzare il certificato SSL per forum.205gti.org. Finché questo non viene corretto, la connessione non è sicura.

Dovresti segnalare questo problema all'amministratore del server.

Sembra che questo sito stia ospitando più siti con lo stesso indirizzo IP.

Storicamente, si poteva avere un solo sito (in questo caso il club Peugeot) usando HTTPS per indirizzo IP che è probabilmente la ragione per cui questo sito è stato configurato in questo modo.

Questo è successo perché l'handshake SSL / TLS è successo prima che il client abbia inviato al server l'intestazione "Host" che definisce il sito a cui sta tentando di accedere. Poiché il server non sapeva a quale sito si stava accedendo, userebbe sempre lo stesso certificato per tutte le richieste.

Al giorno d'oggi esiste un'estensione del protocollo TLS chiamata Indicazione del nome del server che consente al client di specificare quale host sta provando per accedere.

Sfortunatamente ci è voluto molto tempo prima che i client Web e anche i server implementassero SNI, quindi si vedono ancora configurazioni di questo tipo in natura.