¿Por qué el sitio web de la BBC siempre solicita un certificado personal y cómo evito regalarlo?

24

Después de instalar un CAcert , cada vez que aterrice en el sitio meteorológico de BBC me pide que me identifique con un certificado.

  1. ¿Por qué cualquier sitio web no malicioso haría eso a menos que haya solicitado iniciar sesión primero? El informe meteorológico es visible, por lo que no es como si se necesitara autenticación para ningún contenido.
  2. La pregunta del certificado se hace cada vez, y un solo error sería suficiente para darles mi certificado. Como no quiero que eso suceda, ¿cómo le digo a los navegadores que nunca se identifiquen en este sitio con un certificado? "Recordar esta decisión" en Firefox no tiene en cuenta presionar Cancelar.

CapturadepantalladeFirefox:"Elija un certificado para presentar como identificación"

Estoy usando HTTPS Everywhere .

    
pregunta l0b0 16.04.2014 - 08:53
fuente

1 respuesta

41

Realmente no debería preocuparse por esto, el certificado solo contiene su clave pública , que de todos modos se supone que es pública. El único problema es la preocupación de privacidad de la divulgación de la información de su certificado a cualquier sitio que lo solicite.

Resumen del problema:

  • La página del clima de la BBC tiene una solicitud para http://www.live.bbc.co.uk .
  • HTTPS Everywhere está cambiando la solicitud a httpS://www.live.bbc.co.uk .
  • El servidor HTTP en www.live.bbc.co.uk está configurado para solicitar un certificado de cliente para conexiones seguras.
  • Es probable que la BBC solo quiera identificar a sus empleados para mostrar funcionalistas especiales en la página (edición en línea de los artículos de noticias, correcciones, etc.)

  • Recuerde: Al usar HTTPS en todas partes, usted está anulando el comportamiento predeterminado de los sitios que está visitando. El problema que tienes es el resultado de eso. La solución más rápida es deshabilitar la regla / opción HTTPS Everywhere para BBC.

¿Cómo encontré esto?

Busqué un poco en Wireshark al realizar una solicitud a la página del clima y busqué quién me está enviando el mensaje de solicitud de certificado TLS. Voilà! (Crédito a Daniel Kahn Gillmor por la idea )

¿Porquénoaparecióestemensajeantes?

Debidoaqueantesdeconfigurarsucertificadodecliente,Firefoxpensóquenoestabainteresadoenlaautenticacióndelcliente(despuésdetodo,noteníacertificadosinstalados,asíquenotienesentidodarlelaopcióndeelegiruno).Unavezqueagregóuncertificado,Firefoxcomenzóapensar"Tal vez mi ser humano tenga un certificado para este sitio". El certificado puede ser válido para cualquier número de dominio si no se especifica explícitamente. (Nota: no estoy seguro de si se puede especificar explícitamente)

¿Cómo puedo hacer que desaparezca?

Tienes un par de opciones aquí. Puede deshabilitar la regla de la BBC en HTTPS en todas partes porque t solo es parcialmente compatible de todos modos (la BBC no tiene habilitado HTTPS para la navegación normal).

Otra solución sería configurar su navegador para que realice la selección automáticamente por usted. Desde la configuración / opciones / configuraciones de su navegador.

¿Por qué haría eso un sitio web no malicioso a menos que haya solicitado iniciar sesión primero?

Conveniencia. ¿Tienes un certificado válido? Usted inicia sesión automáticamente una vez que visita el sitio.

    
respondido por el Adi 16.04.2014 - 10:54
fuente

Lea otras preguntas en las etiquetas