Quanto è significativo il certificato SSL non valido su aoprals.state.gov?

Naviga le tue risposte
4

Per un massimo di 4 settimane, il sito Office of Allowances del Dipartimento di Stato statunitense utilizza un certificato di sicurezza la cui catena di fiducia è va alla CA propria del Dipartimento di Stato, senza CA radice. I browser pubblicano avvisi spaventosi.

Immagino che i giornalisti tecnologici metterebbero questo in prima pagina, ma non lo hanno fatto. Sono eccessivamente preoccupato, o dovrei gridare più strong di questo? Non so cosa faccia l'Office of Allowances.

Aggiornamento: grazie per le grandi spiegazioni, l'implementazione del proprio certificato di root internamente ha senso per alcuni scopi.

    
posta Foo Bar 30.07.2018 - 23:21
fonte

3 risposte

1

Am I overly concerned, or should I be shouting louder about this?

Non devi urlare ...

Contrariamente alle affermazioni fatte nei commenti e in altre risposte, non mi sembra che quella pagina sia riservata ai dipendenti. La pagina in questione sembra essere una pagina informativa accessibile al pubblico. Ad esempio, è possibile accedervi partendo dalla homepage di www.state.gov e passando il mouse sul menu a discesa "Informazioni", quindi facendo clic sul collegamento "Raccolta regole e informazioni", quindi facendo clic sul piccolo collegamento "Bureau of Administration". , quindi facendo clic su "Office of Allowances".

Gli altri uffici elencati nella pagina Bureau of Administration sembrano avere i loro siti di informazioni pubblicati da www.state.gov (che ha un certificato firmato da GeoTrust), mentre l'Office of allowances è servito da aoprals.state.gov e il certificato non è firmato da una CA comune affidabile.

    
risposta data 30.07.2018 - 23:50
fonte
4

Non dovresti urlare a questo proposito, è (probabilmente) assolutamente soddisfacente.

Sembra un po 'strano, forse un errore di configurazione, ma dipende da chi è il pubblico di destinazione di quella pagina Web.

  • Opzione 1 "bad cert") Questo sito è pensato per essere utilizzato dal grande pubblico e dovrebbe avere un certificato di fiducia pubblica.
  • L'opzione 2 "dovrebbe essere protetta dal firewall") Questo sito è destinato a essere utilizzato dai membri di quel dipartimento e probabilmente dovrebbe essere protetto da un firewall (cioè non accessibile a Internet)
  • Opzione 3 "funziona come previsto") Questo sito è destinato a essere consumato da membri di altri dipartimenti governativi, quindi è pensato per essere rivolto a Internet, ma solo consumato da persone con i certificati di root governativi installati nei loro browser. (cioè a loro davvero non importa se ti fidi del loro sito o meno perché non sei il pubblico di destinazione)

Una rapida occhiata alla pagina web sembra essere intesa per essere visitata da impiegati governativi all'estero che lavorano per vari dipartimenti, che suona molto come l'Opzione 3 "funziona come previsto":

The office compiles statistics of living costs abroad, quarters allowances, hardship differentials, and danger pay allowances and computes the established allowances to compensate U.S. Government civilian employees for costs and hardships related to assignments abroad.

    
risposta data 30.07.2018 - 23:53
fonte
2

Alcuni browser non includono US FPKI o affiliati nei loro negozi di fiducia radice. Mozilla, ad esempio, ha rifiutato di aggiungerlo a Firefox e ha norme esplicite riguardanti l'aggiunta di alcune CA governative. Tuttavia, alcuni siti web governativi utilizzano ancora il FPKI, nonostante la mancanza di supporto. Questo non è un grosso problema, ma vuol dire che dovrai verificare manualmente l'impronta digitale se vuoi determinare l'autenticità del sito web al quale ti stai connettendo.

    
risposta data 31.07.2018 - 03:17
fonte

Leggi altre domande sui tag

In che modo Google protegge dallo scraping? Le applet Java rivelano l'indirizzo IP reale, anche quando si utilizza proxy o VPN?