Autenticazione del certificato e della sicurezza della connessione di Hotmail

0

Recentemente ho ricevuto il seguente messaggio di errore da hotmail.com (o live.com) dopo che ho effettuato l'accesso utilizzando il browser Chrome, coerente con account e computer diversi (indipendentemente dalla modalità 2FA o in incognito):

Your connection is not private

Attackers might be trying to steal your information from bay181.mail.live.com (for example, 
passwords, messages or credit cards). NET::ERR_CERT_COMMON_NAME_INVALID

Subject: bing.com
Issuer: Microsoft IT SSL SHA2
Expires on: 3 Apr 2017
Current date: 14 Jun 2015
PEM encoded chain: -----BEGIN CERTIFICATE-----
.
.
.
. 
-----END CERTIFICATE-----

bay181.mail.live.com normally uses encryption to protect your information. When Chrome tried to 
connect to bay181.mail.live.com this time, the website sent back unusual and incorrect credentials. 
Either an attacker is trying to pretend to be bay181.mail.live.com, or a Wi-Fi sign-in screen has 
interrupted the connection. Your information is still secure because Chrome stopped the connection 
before any data was exchanged.

You cannot visit bay181.mail.live.com right now because the website uses HSTS. 
Network errors and attacks are usually temporary, so this page will probably work later.

Anche se capisco che questo è il risultato dell'implementazione di HSTS e il reindirizzamento di http a https potrebbe essere stato 'insicuro', vorrei capire la causa di esso, così come ogni potenziale e realistica minaccia che avrei potuto affrontare .

    
posta George 14.06.2015 - 13:52
fonte

2 risposte

0

Il certificato è stato quindi corretto da live.com .

In precedenza, l'errore veniva mostrato solo dopo il login. Poiché il certificato non era scaduto, sospetto che la transizione da http a https non abbia rispettato gli standard di HSTS . In ogni caso, ho determinato che il problema è coerente con i browser e il sistema operativo più diffusi, compresi gli account di posta elettronica. Sembra che si tratti di un problema di configurazione lato server con nulla che possiamo fare alla fine del client.

    
risposta data 16.06.2015 - 07:55
fonte
0

Supponendo che la catena di cert sia effettivamente valida, sembra che sia per bing.com invece che per i domini * .mail.live.com.

Sarei sorpreso se succedesse qualcosa di malevolo, ma più probabilmente una cattiva voce DNS, certs mal progettati da Microsoft, o potenzialmente solo una parte del browser non realizzando un'altra parte del browser sta reindirizzando alla ricerca configurata pagina.

Puoi testare questo confrontando il certificato sulla pagina errata con il certificato bing.com. Se i dettagli della cert sono allineati (thumbprint, CA, date di emissione / scadenza, ecc.), Potrebbe essere ragionevole attribuirli alle questioni ambientali.

    
risposta data 14.06.2015 - 21:37
fonte

Leggi altre domande sui tag