¿Por qué los navegadores advierten sobre certificados autofirmados pero no sobre HTTP simple (que ni siquiera está encriptado)? [duplicar]

Navega tus respuestas
5

Seamos breves:

  1. En HTTP todos pueden escuchar fácilmente. Los ataques MITM no son un problema.
  2. En HTTPS (autofirmado) todo está al menos encriptado, es mucho más difícil de atacar con MITM y solo los propietarios de claves privadas pueden escuchar.
  3. En HTTPS (no autofirmado - > "confiado por el proveedor del navegador") es como 2, pero se crea la ilusión de que esto es mucho más seguro que autofirmado, pero al final tenemos que confiar en el El proveedor del navegador no puede cometer errores (ni ser sobornado)

Para mí, la opción 1 es mucho menos segura que 2, aún así los navegadores se quejan de que HTTP no es así, pero los certificados autofirmados son extremadamente difíciles: se necesitan varios clics para establecer la conexión, de lo contrario, bloquean completamente la conexión con mensajes de miedo. . ¿Por qué es esto?

Por supuesto, conozco la razón detrás de los certificados: para asegurarse de que la persona con la que está hablando es con la que realmente quiere hablar. Pero en HTTP no tiene cifrado y no tiene confianza. En HTTPS (autofirmado) tiene al menos cifrado.

Entonces, ¿no debería ser realmente como el siguiente?

  1. HTTP desencadena el "gran error rojo gordo"
  2. HTTPS + autofirmado tiene un icono de advertencia pero funciona con regularidad
  3. HTTPS + "certificado de confianza" no emite ninguna advertencia en absoluto

¿Cuáles son las razones aquí?

    
pregunta Foo Bar 04.12.2015 - 18:04
fuente

1 respuesta

7

Le advierten porque un certificado autofirmado puede ser un signo de un ataque MITM en el que un atacante intenta que usted le envíe credenciales importantes bajo la apariencia de una conexión segura.

La razón principal por la que un navegador no advierte sobre HTTP simple es porque es demasiado común en Internet y sería molesto para la mayoría de los usuarios. Sin embargo, algo de lo que advierten los navegadores es si hay elementos de una página que se entrega a través de HTTP en una página HTTPS (por ejemplo, cuando una página carga elementos de una página diferente y los incrusta en la página).

La razón por la que los navegadores lanzan estos mensajes de miedo para certificados autofirmados es que no quieren que los usuarios sin experiencia agreguen certificados aleatorios a su lista de confianza. Una vez más, alguien podría MITM una conexión, enviarle su certificado y pretender ser el sitio que está intentando visitar. Sí, esto también se puede hacer a través de HTTP, pero muchos sitios entregan al menos una página de inicio de sesión a través de HTTPS, por lo que es beneficioso para los usuarios si los exploradores comprueban, ya que podrían evitar que se comprometan sus credenciales.

Y además, si las personas hacen certificados autofirmados, podrían estar trabajando bajo un falso sentido de seguridad. SSL no es la idea más simple e incluso las grandes empresas luchan con ella, solo mire cómo Dell arruinó su certificado. La idea es desalentar el uso de certificados autofirmados, para que los usuarios puedan tener el beneficio de tener un tercero que verifique la legitimidad de un certificado.

La cuestión de que las AC sean irresponsables con su poder es otra cuestión y puede causar problemas si toman decisiones de cabeza dura .

    
respondido por el pureooze 04.12.2015 - 18:16
fuente

Lea otras preguntas en las etiquetas

¿Cómo funciona este análisis de shellshock? Cómo evitar la fuga de información del remitente durante el restablecimiento de la contraseña