Quando apro link il mio browser dice "connessione non sicura", ma quando apro link il mio browser dice che va bene. Ma è lo stesso sito.
Quindi la mia domanda è: è un bug di sicurezza? È come avere certs autofirmati? Diversi domini sono in conflitto con le corrette impostazioni HTTPS per quanto riguarda il prefisso "www" o meno.
Dai un'occhiata al messaggio di errore attuale:
Certificate is only valid for www.java.com.
È un errore di configurazione del server. Ma in questo caso questo non è un problema di sicurezza diretta perché entrambi i domini appartengono alla stessa azienda. (È indiretto perché insegna alle persone a ignorare questo tipo di messaggio di errore).
Quello che succede qui è questo:
Ma il tuo browser non vuole parlare con www.java.com, gli è stato detto di connettersi a java.com.
Se entrambi i domini non sono sotto il controllo delle stesse persone, questo è un problema (pensa a < something > .dyndns.org):
La connessione è criptata bene, ma hai avuto una connessione sicura con l'attaccante. L'utente malintenzionato potrebbe quindi leggere e modificarlo prima di inviarlo al server reale. Quando l'aggressore riceve la risposta, può nuovamente leggerlo e modificarlo, prima di inviarlo a te. Questo è chiamato Man in the middle attack .
Pertanto questo avviso è importante nel caso generale.
Per sicurezza, dovresti farlo: Guarda il dominio nel messaggio di errore. Se è probabile che il dominio sia una destinazione valida per il luogo in cui si desidera andare (ad esempio, aggiunto o mancante "www"), digitare quel dominio nella barra degli indirizzi. Non copialo perché alcuni caratteri speciali potrebbero sembrare caratteri validi, quindi potresti finire altrove su un lato di phishing.
Il certificato SSL per quel sito è per www.java.com, quindi il tuo browser ti sta dicendo correttamente che non corrisponde al dominio java.com. Non è un bug di sicurezza, poiché la sicurezza non è compromessa, ma è un problema di usabilità: dovrebbero essere reindirizzati da java.com a www.java.com.
Il certificato dovrebbe avere un "Nome alternativo soggetto" o essere un jolly per affrontare questo particolare problema. Ecco un esempio di SAN
Molti emittenti configureranno un certificato in questo modo. Nel tuo esempio particolare, Sun Microsystems ha un emittente privato che è responsabile di questo certificato. Quel server ha trascurato di aggiungere i nomi comuni di SAN nella richiesta.
Dici molti domini che hanno a che fare con questo problema. Dai un'occhiata alla CA di emissione e, se è privata o è comune tra diversi siti problematici, è probabile che le pratiche amministrative siano la colpa.
Leggi altre domande sui tag tls certificates