SSL para solo partes de un sitio web ... ¿Cómo funciona?

Navega tus respuestas
1

Entiendo que las CA emiten certificados basados en nombres comunes (CN) como www.amazon.com y que los certificados no se basan en URL como www.amazon.com/stuff.

¿Cómo es que cuando voy a www.amazon.com, no está asegurado y cuando presiono Iniciar sesión, la conexión ahora está asegurada con SSL? Podría entender si el enlace de inicio de sesión me redirigió a un sitio como login.amazon.com donde había un certificado SSL para el subdominio ... Pero la página de inicio de sesión en Amazon comienza con www.amazon.com, que no está protegida cuando vas a él sin iniciar sesión.

Este es el enlace de inicio de sesión exacto:

enlace

    
pregunta JJBladester 08.08.2014 - 02:42
fuente

2 respuestas

2

Cuando accede a enlace y hace clic en Iniciar sesión, le redirige a enlace que es seguro.

Nota: Esto es susceptible a sslstrip y deberían estar forzando SSL / TLS usando HSTS .

    
respondido por el David Houde 08.08.2014 - 02:57
fuente
1

La mayoría de las veces, SSL está habilitado para todo el sitio web , pero dependiendo de "qué parte" del sitio web solicita su navegador, su navegador permanece en la versión SSL, o el servidor lo solicita educadamente para ir a http en su lugar, y luego vuelve a realizar la misma solicitud en http.

Con "parte", I (y usted) significan la parte de la ruta de la url que solicitó.

Los certificados se usan para SSL, sí, pero no tienen que ser usados , un sitio web puede ofrecer servicios http y https al mismo tiempo. Marque wikipedia como ejemplo.

Dos tráficos de ejemplo

Primero, la solicitud no iniciada en el sitio principal (recortada para una mejor legibilidad): 

GET / HTTP/1.1
Host: amazon.com

El servidor ve que el sitio principal está siendo solicitado por alguien que no ha iniciado sesión, en https y envía la respuesta: 

HTTP/1.1 301 Moved Permanently
Location: http://amazon.com/

note el http .

Ahora la solicitud de su url de inicio de sesión: 

GET /ap/signin/and_so_on HTTP/1.1
Host: amazon.com

El servidor ve el sitio de inicio de sesión solicitado, realiza el inicio de sesión y envía la respuesta: 

HTTP/1.1 200 OK
(site content)

(inicio de sesión exitoso, sin redirección)

    
respondido por el user10008 08.08.2014 - 03:07
fuente

Lea otras preguntas en las etiquetas

Buzzfeed acaba de descargar un archivo binario a mi PC, sin preguntar ¿Cómo puedo mitigar los ataques que se basan en datos envenenados como desarrollador?