Avviso di mancata corrispondenza del certificato HTTPS prima del reindirizzamento

1

Analizziamo la seguente situazione:

  • Un server ospita 10 siti Web: site1.com - site10.com.
  • Solo uno di questi siti Web utilizza SSL -site1.com.
  • Se tenti di accedere a site2 - site10 su https, il browser visualizza un avviso di mancata corrispondenza del certificato, ma se ignori l'errore, reindirizza a http.

So perché viene visualizzato l'avviso del certificato, ma non so come trattarlo dal punto di vista della sicurezza.

Il problema che causa l'avviso del browser deve essere considerato come un problema di configurazione improprio, un problema di sicurezza o non ci sono problemi?

    
posta Dinu S 31.01.2013 - 16:10
fonte

2 risposte

5

Quando viene visualizzato un avviso di sicurezza, l'utente dovrebbe trattarlo come un'emergenza di sicurezza su vasta scala e attivare procedure di contenimento e recupero dei danni. È noto che gli utenti non lo fanno; invece, fanno clic su OK o Annulla (a seconda di quale sia il più vicino alla posizione corrente del puntatore del mouse).

Nella situazione che descrivi, l'utente sta tentando di contattare un sito inesistente: non esiste una percentuale disite2.com abilitata per SSL. A causa di un capriccio di HTTPS, il server non può restituire la risposta corretta (ovvero "connessione rifiutata") e avvia invece una connessione SSL con il certificato per site1.com (da qui l'avviso). Una volta eseguito l'handshake SSL, il browser invia l'URL effettivo (che contiene site2.com ), il server viene a conoscenza del problema e cortesemente offre un reindirizzamento al sito non HTTPS.

Se il browser client è abbastanza recente, potrebbe utilizzare l'estensione Nome server , fornendo un'indicazione avanzata del nome del server che il browser tenta di raggiungere (cioè site2.com ), che consentirebbe al server di abortire il livello SSL in anticipo, evitando il popup di avviso di sicurezza sul client (il server dovrebbe comunque essere configurato per implementare tale comportamento, però).

    
risposta data 31.01.2013 - 16:44
fonte
0

Il browser non ha modo di sapere se qualcosa è un problema di configurazione improprio o un problema di sicurezza, quindi li tratta tutti allo stesso modo - come problemi di sicurezza.

Tuttavia, questa situazione è molto molto diffusa ed è in gran parte inevitabile per qualsiasi ISP che ospita più siti. Finché utilizziamo IPv4 e dobbiamo mettere più host sullo stesso indirizzo IP, questo rimarrà un problema.

    
risposta data 31.01.2013 - 16:25
fonte

Leggi altre domande sui tag