Facebook a volte rilascia SSL. Perché?

Non tutte le app di Facebook supportano HTTPS, quindi se stai giocando su Facebook o usi altre app di terze parti riceverai una notifica che queste app sono accessibili solo via HTTP. Quando si procede, la connessione si ridurrà a HTTP.

Facebook utilizza HTTP Strict Transport Security (HSTS) (vedi la schermata qui sotto). Significa semplicemente che il tuo browser non effettuerebbe mai la connessione HTTP a Facebook anche se qualcuno sta provando a eseguire il downgrade della tua connessione a HTTP. La maggior parte dei browser (Chrome, Firefox, IE) ora supporta questa funzione. L'avvertenza è la prima volta che devi stabilire una connessione "sicura" con Facebook. In questo modo il browser vedrà HSTS e ricorderà, per il numero di secondi specificato, che il dominio corrente deve essere contattato solo tramite HTTPS. L'intestazione HSTS di Facebook consente al browser di utilizzare la connessione HTTPS per 180 giorni.

Inalternativa,seutilizziChrome,haun elenco precaricato del sito Web HSTS . Ciò significa che il tuo browser renderà immediatamente disponibile la connessione HTTPS a questi siti web. Quindi il browser non ha bisogno di aspettare l'intestazione HSTS. Al momento della scrittura, l'elenco include tutti i sottodomini di Facebook.

Quindi tornando alla tua domanda, posso pensare ad alcune possibilità:

1. Stai utilizzando una versione del browser che non ha un supporto per HSTS.
2. Il tuo browser non ha visto e ricordato HSTS.
3. Ogni volta che visiti Facebook, pulisci tutta la cache locale, quindi il tuo browser non si ricorderà mai di utilizzare sempre HST.
4. Stai utilizzando un'app di Facebook che non fa parte del dominio di Facebook e non ha HSTS.
5. Infezione da malware che interferisce con le connessioni di Facebook.

Per convalidare ciò, scarica l'ultima versione di Chrome e prova ad accedere a Facebook. Se il problema persiste, fai la stessa cosa usando un altro computer. Questo può darti un'idea più probabile che sia possibile.

Modifica 1 : Firefox supporta anche elenco precaricato HSTS

Potrebbe essere un bel po 'di cose, ma ... la limitazione è legata alla velocità, non al protocollo.

Indica a te stesso di aver installato qualcosa ed è iniziato, hai provato a spegnere e riaccendere il componente aggiuntivo?

Dovresti prendere nota che potrebbe far parte di un MITM (man-in-the-middle), qualcuno che origlia. Se il passaggio a HTTP attiva anche la richiesta di rinnovo o reinserimento della password, è necessario interrompere e indagare.

Molto probabilmente, tuttavia, c'è un bug nel componente aggiuntivo installato o in conflitto con un altro componente aggiuntivo.

La velocità della rete non ha alcuna relazione con questo. Come ha accennato, è probabile che il componente aggiuntivo.

Dal punto di vista di un attacco, ciò sarebbe possibile facendo "Stripping SSL" durante MiTM. Stripping SSL è il principio del MiTM che dice "passa tutti i link HTTPS a HTTP". C'è stato un interessante defcon talk su questo ( fai clic qui per vederlo ).

Nella presentazione, l'oratore, Moxie Marlinspike, ha dimostrato che lo stripping SSL era efficace anche su google. Dal momento che il discorso, credo che Google abbia aumentato la sicurezza per rendersi disponibile solo tramite SSL; tuttavia, ciò dimostra che a un certo punto anche Google era suscettibile a questo tipo di attacco.

Modifica: Vedo altri due commenti sulla tua domanda citato SSL Strip. È piuttosto interessante e amp; vettore di attacco efficace per MiTM.

È probabile che il software di terze parti disabiliti TLS su HTTP (HTTPS). Non c'è davvero nessuna buona ragione per degradare una connessione a HTTP da HTTPS. In effetti, l'avvio di una nuova sessione è la parte più pesante.

Invece di controllare le estensioni e le applicazioni del browser, installa un plug-in come Force-TLS o HTTPS-ovunque ti costringerà a connetterti su HTTPS anziché su HTTP quando possibile. Questo dovrebbe risolvere il tuo problema.