Estoy accediendo a Bing ( enlace ) desde China. Obtuve la siguiente información:
¿Cómopudopasaresto?¿HTTPSperonoencriptado,yconcertificadoSSL?
No solo está en Edge, sino también en IE y Chrome. La razón ahora está clara: MS sí sirve contenido a través de conexiones inseguras, al menos en China. Como indican las advertencias de Mixed content
en la parte inferior derecha de la captura de pantalla a continuación, la página solicita imágenes a través de HTTP, lo que la hace insegura:
Editar para el pcap: mi teoría no se sostiene; los otros puntos siguen siendo válidos.
Mantendré mi respuesta original, especulativa, pero TL; DR: si los recursos se cargan a través de http, tal advertencia está justificada.
Según los comentarios, esto parece ser una advertencia sobre los recursos que no son https utilizados en el sitio web. Esto podría provocar advertencias de ese tipo y por una buena razón:
Si los scripts se cargan de tal manera, un usuario intermedio puede inyectar scripts que comprometan cada interacción con un sitio web de este tipo (y aún más, en caso de que haya un exploit disponible para el atacante para su navegador). Además, incluso otros recursos podrían llevar a la ejecución de código que no estaba destinado a ejecutarse en ese contexto.
Ahora mi respuesta original: Esto podría ser un ataque de degradación permitido por Microsoft.
Primero que nada: TLS tiene dos propósitos diferentes:
Aunque el servidor se ha autenticado, parece que el servidor y usted han establecido un "cifrado" de texto sin formato.
En segundo lugar: esto podría ser útil si el cliente (o servidor) tiene capacidades computacionales muy limitadas. Como un medio para permitir el acceso (disponibilidad) a través del secreto, este puede ser útil.
En tercer lugar, mi especulación: En este caso, es posible que solo se permita la operación de Bing en China siempre que el gran firewall pueda mirar dentro del tráfico. Por lo tanto, Microsoft podría haber elegido la disponibilidad sobre el secreto, haciendo uso de la opción de texto sin formato para permitir la inspección profunda de paquetes por parte del GFC.
¿Cómo pudo pasar esto? ¿HTTPS pero no encriptado, y con certificado SSL?
Hay tres maneras en que puedo pensar que esto podría suceder.
El servidor está configurado a propósito con un protocolo nulo , que técnicamente está permitido bajo HTTPS , aunque altamente desaconsejado .
El servidor está configurado con un protocolo de cifrado adecuado, pero tiene una debilidad que le permite a un pirata informático lanzar un ataque downgrade . Tal debilidad se encontró hace uno o dos años en OpenSSL (consulte este artículo ), que es un artículo muy popular. Base de código en la que se basan muchos servidores web. También hay otros ataques .
Estás en un entorno de red (que podría ser todo China) donde se interceptan las conexiones a Bing y se te entrega contenido con un certificado que no es el certificado original. Este tipo de configuración es común en los entornos corporativos (consulte esta pregunta para más detalles). Requeriría que su computadora portátil contenga un certificado raíz que sea controlado por la parte que está realizando la interceptación, por ejemplo. una CA china, que luego podría emitir un certificado que se ve exactamente como si fuera propiedad de Bing.
"Seguro" HTTPS significa una conexión encriptada entre el navegador y el servidor web. Eso es. Eso solo garantiza que los datos que viajan entre su navegador y el servidor web estén seguros. No cubre todo el espectro de seguridad.
El sitio está prácticamente cargando contenido mixto, parte del contenido, como imágenes y CSS, se cargará a través de un canal inseguro, mientras que el contenido del sitio principal se protegerá a través de HTTPS. Como ejemplo, si alguno de los contenidos utiliza "form action=" http "en lugar de" form action="https", esto contribuye a la posibilidad de que el sitio se vea comprometido. En su caso específico, también hay adobe flash. Mientras tengas contenido flash, prácticamente la seguridad está muerta de todos modos. Adobe Flash se ejecuta dentro del mismo proceso y la misma memoria que el navegador web y los errores frecuentes en el mismo brindan a los piratas informáticos muchas oportunidades fáciles de acceder a la memoria. Luego pueden saltar a una dirección de memoria específica y hacer cualquier cosa desde allí.
En cuanto al SSL, cuando solicita una conexión HTTPS a un sitio web, el sitio inicialmente enviará su certificado SSL a su navegador. Este certificado contiene la clave pública necesaria para iniciar la sesión segura. Sobre la base de este intercambio inicial, su navegador y el sitio web inician el 'protocolo de enlace SSL'. El protocolo de enlace SSL implica la generación de secretos compartidos para establecer una conexión segura única entre usted y el sitio web. Muchas cosas pueden salir mal aquí y la conexión segura ya no está sucediendo. Muchas veces, puede deberse a un navegador comprometido, pero también puede deberse a problemas en el sitio.
Lea otras preguntas en las etiquetas encryption tls certificates certificate-authority