HTTPS y autenticación básica

Navega tus respuestas
6

He configurado un proxy inverso NGINX en mi servidor doméstico con DNS dinámico de mi sitio web 'stuff.mydomain.com' junto con un certificado de letsencrypt. Estoy usando autenticación básica para autenticar usuarios.

Cuando voy a mi dominio y aparece el cuadro de autenticación, Chrome no indica que la conexión sea segura (aparece el símbolo "Info o No seguro" "i"). Si inicio sesión o hago clic en cancelar, inmediatamente se convierte en el símbolo de candado verde y permanece así.

¿Es esta la forma en que se supone que funciona, o he estropeado la configuración y estoy transmitiendo información de inicio de sesión sin cifrar?

Editar: Lo mismo ocurre cuando ingreso https: // para la URL. ¿Alguna idea?

Edición 2: después de jugar con Wirehark por un tiempo, estoy bastante seguro de que todo está encriptado (verifiqué http y https en la barra de URL). Todavía no sé qué es lo que hace que Chrome se muestre inseguro.

    
pregunta Michael Biro 31.03.2017 - 18:51
fuente

2 respuestas

7

Una respuesta tardía, pero este es un error de larga data en Chrome. Chrome no actualiza el indicador de seguridad en la barra de direcciones antes de mostrar el cuadro de diálogo de autenticación básico (aunque valida la seguridad correctamente, por lo que un certificado caducado está marcado correctamente).

enlace enlace (consulte también 395050)

    
respondido por el Gavin 22.08.2017 - 11:51
fuente
5

La solicitud de autenticación probablemente ocurra antes de la redirección. Si ingresa sus credenciales, es probable que se envíen en texto sin formato, después de lo cual será redirigido a HTTPS.

Puede verificar fácilmente si envía credenciales sin cifrar, por ejemplo, wireshark.

Si lo hace, debe ingresar HTTPS en su navegador (no es el mejor método, como puede olvidar), usar HSTS para forzar HTTPS automáticamente o reconfigurar su servidor (por ejemplo, bloquear todo el acceso a través de HTTP).

    
respondido por el tim 31.03.2017 - 19:09
fuente

Lea otras preguntas en las etiquetas

El usuario del dispositivo IoT debe realizar una tarea que requiera privilegios de administrador de Windows ¿Implementar la autodestrucción física del hardware incorporado para evitar el robo de IP?