Icono HTTPS rojo y tachado - navegador Chrome

Navega tus respuestas
14

¿Qué significa realmente cuando el icono HTTPS está rojo y tachado en Chrome?

¿Esto significa que el sitio es vulnerable a un hombre en el ataque central? ¿Es seguro o no?

    
pregunta Michal Koczwara 10.04.2015 - 15:47
fuente

3 respuestas

12

Cuando la parte https de la URL en Chrome tiene una línea roja, hay un problema con la seguridad del sitio al que se dirige. Para ver exactamente cuál es el problema, debe hacer clic en el candado y ver la información de conexión detallada.

La información de conexión detallada está documentada aquí .

Si ve ,entonceshaestablecidounaconexiónseguraconunsitiodeconfianzaynotienequepreocuparseporMITMataques.

Sive, la conexión no está encriptada y está sujeta a ataques MITM.

Si ve o, o bien la conexión está parcialmente encriptada o está encriptada con una parte que no es de confianza (por ejemplo, un certificado autofirmado, una discrepancia de nombre o un impostor). En estos casos, puede estar sujeto a un ataque MITM.

Con estos dos últimos, el nivel de exposición varía. Puede ser que el sitio remoto esté correctamente encriptado, pero que tenga algunas etiquetas "IMG SRC = http: // ..." que causan contenido mixto. Ese "contenido mixto" puede ser detectado en la red. O bien, puede ser que hayas ido a un sitio de impostor "gooogle.com" en lugar de "google.com", y todo lo que envíes esté encriptado pero irá a un atacante malicioso. O en cualquier punto intermedio. La regla de oro es, esencialmente, a menos que entiendas por qué es rojo, no deberías confiar en él.

    
respondido por el gowenfawr 10.04.2015 - 21:28
fuente
2

Un https tachado podría significar que el certificado utiliza la seguridad con fecha "SHA-1" que no es tan segura como lo era en su inducción hace 20 años. Chrome simplemente nos está diciendo eso. IE y Firefox aún no están reportando sitios que usan "SHA-1" pero pronto lo harán. Para verificar que este es el problema, le sugiero que abra el sitio web en uno de los otros navegadores para ver si establecen una conexión https. De lo contrario, el certificado del sitio web puede ser algo distinto al problema "SHA-1".

    
respondido por el HomePC 06.05.2015 - 15:33
fuente
0

Te refieres a cuando los navegadores web dibujan una línea roja a través de "https: //" en sus barras de URL.

Significa que el navegador no confía en el certificado que usa el sitio, por muchas razones posibles:

  • no está firmado por uno de los certificados de CA raíz en los que el navegador confía implícitamente
  • está firmado por un certificado de CA raíz en el que el navegador solía confiar, pero ya no lo hace porque la CA se convirtió en un pícaro
  • el certificado ha caducado
  • el certificado ha sido revocado por su creador
  • el certificado dice que es para otro sitio, no para el sitio que está viendo

... pero no obstante, usted solicitó que se haga una excepción de seguridad y se le permita ver el sitio de todos modos.

Usted y su navegador son vulnerables a un ataque MitM, pero recuerde que cada sitio en el mundo que comienza con "http: //" en lugar de "https: //" también es también vulnerable a una Ataque MitM, y no habrá advertencias ni señales de alerta al respecto.

Si ve el "https" marcado en su navegador, entonces tiene el mismo nivel de seguridad que un sitio web "http" normal, por lo que solo debe usarlo si está satisfecho sin garantía de privacidad. Autenticidad de em> o .

    
respondido por el Stuart Caie 10.04.2015 - 16:26
fuente

Lea otras preguntas en las etiquetas

¿Reemplazo para DVL (Damn Vulnerable Linux)? [cerrado] ¿La sugerencia de una contraseña aleatoria durante el registro perjudicaría la seguridad general?