HTTPS e autenticazione di base

6

Ho impostato un proxy inverso NGINX sul mio server di casa con DNS dinamico dal mio sito web "stuff.mydomain.com" insieme a un certificato di LetCrypt. Sto utilizzando l'autenticazione di base per autenticare gli utenti.

Quando vado nel mio dominio e viene visualizzata la finestra di autenticazione, chrome non indica che la connessione è sicura (ottengo il simbolo "Info o Non protetto" "i"). Se accedo o clicco, si trasforma immediatamente nel simbolo del lucchetto verde e rimane in questo modo.

È questo il modo in cui dovrebbe funzionare, o ho rovinato il setup e sto trasmettendo informazioni di login non criptate?

Modifica: la stessa cosa accade quando inserisco https: // per l'URL. Qualche idea?

Modifica 2: Dopo aver fatto confusione con wireshark per un po ', sono abbastanza sicuro che tutto sia effettivamente crittografato (ho controllato sia http che https nella barra degli URL). Non so ancora cosa stia causando il fatto che Chrome lo mostri come non sicuro.

    
posta Michael Biro 31.03.2017 - 18:51
fonte

2 risposte

7

Una risposta tardiva, ma questo è un bug di vecchia data in Chrome. Chrome non aggiorna l'indicatore di sicurezza nella barra degli indirizzi prima di mostrare la finestra di dialogo di autenticazione di base (anche se convalida correttamente la sicurezza, quindi un certificato scaduto è contrassegnato correttamente).

link link (vedi anche 395050)

    
risposta data 22.08.2017 - 11:51
fonte
5

È probabile che la richiesta di autenticazione si verifichi prima del reindirizzamento. Se inserisci le tue credenziali, probabilmente verranno inviate in chiaro, dopodiché verrai reindirizzato su HTTPS.

È possibile controllare facilmente se si inviano le credenziali non crittografate, ad esempio tramite wireshark.

Se lo fai, dovresti inserire HTTPS nel tuo browser (non l'approccio migliore, come potresti dimenticare), utilizzare HSTS per forzare HTTPS automaticamente o riconfigurare il tuo server (ad es. bloccare tutti gli accessi via HTTP).

    
risposta data 31.03.2017 - 19:09
fonte

Leggi altre domande sui tag