clarificación de flujo HTTPS [duplicado]

1

He hecho una pequeña prueba y el resultado es el esperado, pero estoy tratando de entender más. He configurado un servidor DNS falso para resolver todos los nombres a la IP de mi VPS. En mi VPS, instalé un servidor web con SSL y, a continuación, configuré el DNS de mi computadora cliente a un DNS falso.

cuando hago ping desde la herramienta CMD a Facebook.com, el servidor resuelve la IP a la IP del servidor web VPS (esto es bueno). Cuando intento abrir Facebook desde el navegador Chrome, se dice que la conexión no es segura, pero si se intenta directamente, abrir IP de VPS con HTTPS es exitoso.

¿Quiero entender cómo la conexión de verificación de Chrome es insegura antes del protocolo de enlace con Facebook real? Si VPS también incluye un certificado SSL real, ¿por qué Chrome no se abre correctamente? Según tengo entendido, Chrome obtiene la IP del dominio (Facebook) de un DNS falso e intenta abrir la IP de Facebook. (VPS IP en este caso) Si el VPS remoto también incluye SSL que se abre con éxito si intento la IP directa del VPS, ¿por qué no se reenvían otros sitios web a VPS con conexión SSL?

El mensaje de mi navegador es:

www.facebook.com normally uses encryption to protect your information. When Google Chrome tried to connect to www.facebook.com this time, the website sent back unusual and incorrect credentials. This may happen when an attacker is trying to pretend to be www.facebook.com, or a Wi-Fi sign-in screen has interrupted the connection. Your information is still secure because Google Chrome stopped the connection before any data was exchanged.
    
pregunta FariZ 01.02.2018 - 22:09
fuente

1 respuesta

0

Si bien su VPS puede tener un certificado válido para su dominio, su navegador está esperando el certificado de coincidencia www.facebook.com . Sin un certificado de confianza para ese dominio, el navegador no podrá conectarse a través de HTTPS.

Tener un certificado para un dominio no es lo suficientemente bueno como para establecer una conexión TLS para cualquier otro dominio.

    
respondido por el David 02.02.2018 - 05:03
fuente

Lea otras preguntas en las etiquetas