¿Uso incorrecto de HTTPS?

12

Cuando abro enlace mi navegador dice "conexión no confiable" pero cuando abro enlace mi navegador dice que está bien. Pero es el mismo sitio.

Así que mi pregunta es: ¿es esto un error de seguridad? ¿Es como tener certificados autofirmados? Varios dominios luchan con la configuración de HTTPS correcta con respecto a tener el prefijo "www" o no.

    
pregunta LanceBaynes 08.05.2011 - 21:07
fuente

3 respuestas

28

Eche un vistazo al mensaje de error real:

  

El certificado solo es válido para www.java.com.

Es una mala configuración del servidor. Pero en este caso este no es un problema de seguridad directo porque ambos dominios pertenecen a la misma compañía. (Es indirecto porque enseña a las personas a ignorar este tipo de mensaje de error).

Fondo

Lo que sucede aquí es esto:

  • Le dijiste a tu navegador que visite java.com
  • Pero el servidor respondió: Soy www.java.com (sin alias) y aquí está mi certificado para demostrarlo.

Pero su navegador no quiere hablar con www.java.com, se le dijo que se conectara a java.com.

Si ambos dominios no están bajo el control de las mismas personas, esto es un problema (piense en < algo > .dyndns.org):

La conexión está bien encriptada, pero tenías una conexión segura con el atacante. El atacante luego lo leería y posiblemente lo modificaría antes de pasarlo al servidor real. Cuando el atacante obtiene la respuesta, puede leerla y modificarla nuevamente, antes de que se la envíe. Esto se denomina Man in the middle attack .

Por lo tanto, esta advertencia es importante en el caso general.

¿Qué hacer?

Para estar en el lado seguro, debe hacer esto: mire el dominio en el mensaje de error. Si es probable que el dominio sea un destino válido para el lugar al que desea ir (por ejemplo, agregue o falte "www"), escriba ese dominio en la barra de direcciones. No lo copie porque algunos caracteres especiales pueden parecer caracteres válidos, por lo que podría terminar en otro lado en un lado de phishing.     

respondido por el Hendrik Brummermann 08.05.2011 - 21:37
fuente
6

El certificado SSL para ese sitio es para www.java.com, por lo que su navegador le dice correctamente que no coincide con el dominio java.com. No es un error de seguridad, ya que la seguridad no está comprometida, pero es un problema de usabilidad: deberían tener una redirección de java.com a www.java.com.

    
respondido por el Mike Scott 08.05.2011 - 21:12
fuente
2

El certificado debería tener un "Nombre alternativo del sujeto" o ser un comodín para solucionar este problema en particular. Aquí hay un ejemplo de SAN

Muchos emisores configurarán un certificado de esta manera. En su ejemplo particular, Sun Microsystems tiene un emisor privado que es responsable de este este certificado. Ese servidor descuidó agregar los nombres de SAN comunes en la solicitud.

Usted dice que hay varios dominios que luchan con este problema. Eche un vistazo a la CA emisora, y si es privada o es común entre varios sitios problemáticos, es probable que las prácticas administrativas culpen.

    
respondido por el random65537 06.08.2011 - 00:03
fuente

Lea otras preguntas en las etiquetas