Uso errato di HTTPS?

12

Quando apro link il mio browser dice "connessione non sicura", ma quando apro link il mio browser dice che va bene. Ma è lo stesso sito.

Quindi la mia domanda è: è un bug di sicurezza? È come avere certs autofirmati? Diversi domini sono in conflitto con le corrette impostazioni HTTPS per quanto riguarda il prefisso "www" o meno.

    
posta LanceBaynes 08.05.2011 - 21:07
fonte

3 risposte

28

Dai un'occhiata al messaggio di errore attuale:

Certificate is only valid for www.java.com.

È un errore di configurazione del server. Ma in questo caso questo non è un problema di sicurezza diretta perché entrambi i domini appartengono alla stessa azienda. (È indiretto perché insegna alle persone a ignorare questo tipo di messaggio di errore).

Sfondo

Quello che succede qui è questo:

  • Hai detto al tuo browser di visitare java.com
  • Ma il server ha risposto: sono www.java.com (senza alias) ed ecco il mio certificato per dimostrarlo.

Ma il tuo browser non vuole parlare con www.java.com, gli è stato detto di connettersi a java.com.

Se entrambi i domini non sono sotto il controllo delle stesse persone, questo è un problema (pensa a < something > .dyndns.org):

La connessione è criptata bene, ma hai avuto una connessione sicura con l'attaccante. L'utente malintenzionato potrebbe quindi leggere e modificarlo prima di inviarlo al server reale. Quando l'aggressore riceve la risposta, può nuovamente leggerlo e modificarlo, prima di inviarlo a te. Questo è chiamato Man in the middle attack .

Pertanto questo avviso è importante nel caso generale.

Che cosa fare?

Per sicurezza, dovresti farlo: Guarda il dominio nel messaggio di errore. Se è probabile che il dominio sia una destinazione valida per il luogo in cui si desidera andare (ad esempio, aggiunto o mancante "www"), digitare quel dominio nella barra degli indirizzi. Non copialo perché alcuni caratteri speciali potrebbero sembrare caratteri validi, quindi potresti finire altrove su un lato di phishing.

    
risposta data 08.05.2011 - 21:37
fonte
6

Il certificato SSL per quel sito è per www.java.com, quindi il tuo browser ti sta dicendo correttamente che non corrisponde al dominio java.com. Non è un bug di sicurezza, poiché la sicurezza non è compromessa, ma è un problema di usabilità: dovrebbero essere reindirizzati da java.com a www.java.com.

    
risposta data 08.05.2011 - 21:12
fonte
2

Il certificato dovrebbe avere un "Nome alternativo soggetto" o essere un jolly per affrontare questo particolare problema. Ecco un esempio di SAN

Molti emittenti configureranno un certificato in questo modo. Nel tuo esempio particolare, Sun Microsystems ha un emittente privato che è responsabile di questo certificato. Quel server ha trascurato di aggiungere i nomi comuni di SAN nella richiesta.

Dici molti domini che hanno a che fare con questo problema. Dai un'occhiata alla CA di emissione e, se è privata o è comune tra diversi siti problematici, è probabile che le pratiche amministrative siano la colpa.

    
risposta data 06.08.2011 - 00:03
fonte

Leggi altre domande sui tag