¿Qué significan estas advertencias en una conexión SSL con Firefox (solo)?

7

Me estoy conectando a un sitio seguro y las menciones de Firefox sobre identidad:

Owner: This website does not supply ownership information

Verified by: Not specified

Technical Details:  
Connection Partially encrypted      
Parts of the page you are viewing were not encrypted before transmitted over the internet  

¿Qué significan estas advertencias? No los veo a través de IE.
Y la conexión no parece ser considerada como no confiable en la barra de URL ni en ninguna otra indicación. El certificado está firmado por una CA de confianza, ¿a qué se refiere el Non Specified en la advertencia Verified by ?

También, ¿cómo puedo saber qué partes de la página se enviaron sin cifrar?

    
pregunta Jim 22.04.2012 - 22:52
fuente

3 respuestas

9

Advertencia 1: Owner: This website does not supply ownership information

Esto significa que el certificado SSL no especifica la organización que lo posee. Esto puede ser un detalle importante, especialmente en certificados de verificación extendidos (EV), ya que vincula el certificado a una entidad real.

Advertencia 2: Verified by: Not specified

Este es un problema muy importante. El certificado no especifica qué autoridad de certificación (CA) lo ha firmado. Esto podría significar que es autofirmado, por lo que solo puede confiar en la conexión de seguridad contra atacantes pasivos. Un atacante activo, es decir, uno que realiza un ataque de hombre en el medio, podría generar su propio certificado y pretender ser el servidor.

Advertencia 3: Connection Partially encrypted - Parts of the page you are viewing were not encrypted before transmitted over the internet.

Esto significa que los elementos de la página que está viendo no se transfieren a través de SSL. Esto podría significar imágenes, scripts o incluso archivos CSS. El problema aquí es que parte del tráfico se enviará en texto sin cifrar, lo que potencialmente revelará la página que está viendo o detalles más importantes, como las cookies.



En resumen, esta es una configuración SSL muy mal asegurada. Por supuesto, no debe usarlo para ingresar datos personales o información potencialmente confidencial.

    
respondido por el Polynomial 22.04.2012 - 23:13
fuente
5
  

Propietario: este sitio web no proporciona información de propiedad

Esto se utiliza para certificados EV. En este caso, Firefox solo copiará el contenido de los RDN de O, L, ST y C en el DN del sujeto. No lo hace de otra manera.

Puede leer más sobre el tema de los certificados EV en esta respuesta , por ejemplo. Notará que https://www.google.com/ no tiene uno y muestra este mismo mensaje.

  

Verificado por: No especificado

Esto parece utilizar el RDN O del DN del Emisor. No tenerlo no es necesariamente un gran problema. Cuando eligió (o cuando alguien más tomó la decisión) confiar en esa CA, debería haber sabido de dónde vino. Los DN de Asunto del certificado CA (que se convierten en el DN del Emisor) no tienen una estructura obligatoria (aunque los certificados EV son más estrictos en esto). Lo que importa es tener un DN que identifique suficientemente a la AC, ya sea que las RDN de la CN o la O estén presentes no importa mucho, aunque parece que sería mejor tenerlas (solo desde un punto de vista administrativo). / p>

Aunque estos mensajes vienen con buena intención, tienden a hacer las cosas más confusas, desafortunadamente. Este sigue siendo el objeto de debate en una serie de problemas de Firefox Bugzilla. Aquí hay una pareja:

  

Detalles técnicos:

     

Conexión parcialmente encriptada

     

Las partes de la página que está viendo no se cifraron antes de ser transmitidas por Internet

Este es un problema. Significa que ha mezclado contenido en su página, lo cual es una mala práctica porque no puede estar seguro de qué se puede y no se puede confiar en el contenido del servidor (como garantizado por SSL / TLS de lo contrario). Probablemente esté cargando imágenes, scripts, iframes o haciendo solicitudes XHR a través de HTTP simple. En algunos casos, puede filtrar datos confidenciales de esta manera.

Puede averiguar qué recursos se cargan a través de HTTP simple en su página utilizando la extensión Firebug (pestaña Red). Chrome tiene algo similar en sus herramientas de desarrollo.

    
respondido por el Bruno 23.04.2012 - 12:16
fuente
-2

Parece que te estás perdiendo un certificado CN.

Puede obtener el certificado CN usted mismo de la base de conocimientos de la mayoría de los emisores de certificados y enviarlo si no le fue enviado por correo electrónico. He tenido que hacer esto un par de veces.

    
respondido por el Rob Scott 20.07.2012 - 10:14
fuente

Lea otras preguntas en las etiquetas