Che cosa significano questi avvertimenti su una connessione SSL da firefox (solo)

Avviso 1: Owner: This website does not supply ownership information

Questo significa che il certificato SSL non specifica l'organizzazione che lo possiede. Questo può essere un dettaglio importante, specialmente nei certificati di verifica estesa (EV), poiché lega il certificato a una vera entità.

Avviso 2: Verified by: Not specified

Questo è un problema molto importante. Il certificato non specifica quale autorità di certificazione (CA) l'ha firmata. Questo potrebbe significare che è autofirmato, quindi puoi fare affidamento solo sulla connessione per la sicurezza contro gli attaccanti passivi. Un attaccante attivo, cioè uno che esegue un attacco man-in-the-middle, potrebbe generare il proprio certificato e fingere di essere il server.

Avviso 3: Connection Partially encrypted - Parts of the page you are viewing were not encrypted before transmitted over the internet.

Ciò significa che gli elementi nella pagina che stai visualizzando non vengono trasferiti tramite SSL. Questo potrebbe significare immagini, script o persino file CSS. Il problema qui è che il traffico verrà inviato in chiaro, potenzialmente rivelando quale pagina stai visualizzando o altri dettagli importanti, come i cookie.

In breve, questa è una configurazione SSL molto poco sicura. Non dovresti certamente usarlo per inserire dati personali o informazioni potenzialmente sensibili.

Owner: This website does not supply ownership information

Questo è usato per i certificati EV. In questo caso, Firefox copia semplicemente il contenuto di O, L, ST e C RDN nel DN oggetto. Non lo fa diversamente.

Puoi leggere di più sull'argomento dei certificati EV in questa risposta per esempio. Noterai che https://www.google.com/ non ne ha uno e mostra questo stesso messaggio.

Verified by: Not specified

Sembra che usi l'O RDN del DN dell'emittente. Non averlo non è necessariamente un grosso problema. Quando hai scelto (o quando qualcun altro ha preso la decisione) di fidarsi di quella CA, avrebbe dovuto sapere da dove proveniva. I DN oggetto della CAcert (che diventano DN dell'emittente) non hanno una struttura obbligatoria (i certificati EV sono più rigidi su questo, però). Ciò che conta è avere un DN che identifichi sufficientemente la CA, indipendentemente dal fatto che il CN o l'O-RDN siano presenti non importa molto, anche se sembra che sarebbe meglio praticarli (solo da un punto di vista amministrativo). / p>

Anche se questi messaggi hanno buone intenzioni, sfortunatamente tendono a rendere le cose più confuse. Questo è ancora l'oggetto del dibattito in un numero di problemi di Firefox Bugzilla. Qui ci sono un paio:

• link
• link

Technical Details:

Connection Partially encrypted

Parts of the page you are viewing were not encrypted before transmitted over the internet

Questo è un problema. Significa che hai un contenuto misto sulla tua pagina, il che è una cattiva pratica perché non puoi essere sicuro di ciò che può e non può essere considerato attendibile come proveniente dal server (come garantito da SSL / TLS altrimenti). Probabilmente caricando immagini, script, iframe o facendo richieste XHR via HTTP semplice. In alcuni casi, può perdere dati sensibili in questo modo.

Puoi scoprire quali risorse sono caricate tramite semplice HTTP sulla tua pagina usando l'estensione Firebug (scheda Rete). Chrome ha qualcosa di simile nei suoi strumenti di sviluppo.

Sembra che manchi un certificato CN.

Puoi ottenere il certificato CN direttamente dalla knowledge base sulla maggior parte degli emittenti di certificati e pubblicarlo se non ti è stato inviato per e-mail: ho dovuto farlo un paio di volte.