Alerta de no coincidencia del certificado HTTPS antes de la redirección

1

Analicemos la siguiente situación:

  • Un servidor aloja 10 sitios web: site1.com - site10.com.
  • Solo uno de estos sitios web utiliza SSL -site1.com.
  • Si intenta acceder a site2 - site10 a través de https, el navegador muestra una alerta de discrepancia de certificado, pero si ignora el error, se redirige a http.

Sé por qué se muestra la alerta de certificado, pero no sé cómo tratarla desde un punto de vista de seguridad.

¿Debería tratarse el problema que causa la alerta del navegador como un problema de configuración incorrecto, un problema de seguridad o no hay ningún problema?

    
pregunta Dinu S 31.01.2013 - 16:10
fuente

2 respuestas

5

Cuando se muestra una advertencia de seguridad, el usuario debe tratarla como una emergencia de seguridad a gran escala y desencadenar procedimientos de contención y recuperación de daños. Es bien sabido que los usuarios no hacen eso; en su lugar, hacen clic en Aceptar o en Cancelar (lo que sea más cercano a la posición actual del puntero del mouse).

En la situación que describe, el usuario está tratando de ponerse en contacto con un sitio inexistente: no existe un site2.com habilitado para SSL. Debido a una peculiaridad de HTTPS, el servidor no puede devolver la respuesta correcta (es decir, "conexión rechazada") y, en su lugar, inicia una conexión SSL con el certificado para site1.com (de ahí la advertencia). Una vez que se realiza el protocolo de enlace SSL, el navegador envía la URL real (que contiene site2.com ), el servidor se da cuenta del problema y cortésmente ofrece una redirección al sitio que no es HTTPS.

Si el navegador del cliente es lo suficientemente reciente, puede usar la extensión Indicación del nombre del servidor , lo que proporciona una indicación avanzada de nombre del servidor que el navegador intenta alcanzar (es decir, site2.com ), lo que permitiría al servidor abortar la capa SSL desde el principio, evitando la ventana emergente de advertencia de seguridad en el cliente (el servidor todavía tendría que configurarse para implementar ese comportamiento, aunque).

    
respondido por el Tom Leek 31.01.2013 - 16:44
fuente
0

El navegador no tiene forma de saber si algo es un problema de configuración incorrecto o un problema de seguridad, por lo que los trata a todos por igual, como problemas de seguridad.

Sin embargo, esta situación está muy extendida y es en gran medida inevitable para cualquier ISP que aloje múltiples sitios. Mientras usemos IPv4 y debamos colocar varios hosts en la misma dirección IP, esto seguirá siendo un problema.

    
respondido por el mricon 31.01.2013 - 16:25
fuente

Lea otras preguntas en las etiquetas