Warum zeigen Browser hässliche Fehler für nicht vertrauenswürdige SSL-Zertifikate?
Wenn ein nicht vertrauenswürdiges Zertifikat vorkommt, zeigt jeder einzelne Browser, den ich kenne, einen solchen Fehler an:
Warum ist das?
Dies rät Web-Entwicklern dringend davon ab, eine geniale Technologie wie SSL zu nutzen, aus Angst, dass die Nutzer die Website als sehr zwielichtig empfinden. Legitime Websites (dh Phishing-Websites) funktionieren problemlos mit HTTP, sodass dies kein Problem darstellen kann.
Warum sehen sie so aus wie eine große Sache? Ist SSL nicht auch wenn nicht vertrauenswürdig, besser als gar nicht?
Es sieht so aus, als würde ich missverstanden. Ich stelle die Tatsache in Frage, dass HTTP-Sites nicht sicherer sein können als eine HTTPS-Site, selbst wenn sie nicht vertrauenswürdig sind. HTTP macht keine Verschlüsselung oder Identifikation. Phisher können ihre Sites auf HTTP setzen und es werden keine Warnungen angezeigt. In gutem Glauben verschlüssele ich zumindest den Verkehr. Wie kann das eine schlechte Sache sein?
7 Antworten
SSL ermöglicht eine sichere Kommunikation zwischen Client und Server, indem gegenseitige Authentifizierung , digitale Signaturen für die Integrität und Verschlüsselung für die Privatsphäre ermöglicht werden .
( apache ssl docs )
Ja, ich sehe nichts über Zertifizierungsstellen von Drittanbietern, die alle Browser als "legitim" erkennen sollten. Natürlich ist das genau die Art und Weise wie die Welt ist. Wenn Sie also nicht möchten, dass die Leute eine gruselige Seite sehen, müssen Sie ein Zertifikat von jemandem erhalten, den der Browser erkennt.
oder
Wenn Sie SSL nur für eine kleine Gruppe von Personen oder für interne Dokumente verwenden, können Sie Ihr Stammzertifikat in Ihrem Browser als vertrauenswürdiges Zertifikat installieren. Dies würde ziemlich gut auf einem LAN funktionieren, wo ein Netzwerkadministrator es über das gesamte Netzwerk installieren könnte.
Es klingt vielleicht peinlich, Ihnen zu empfehlen, Ihr Cert an Leute zu senden, aber wenn Sie darüber nachdenken, worauf Sie mehr vertrauen: ein Zertifikat, das mit Ihrem Browser geliefert wurde, weil diese Behörde ihre Gebühren bezahlt hat oder ein Zertifikat an Sie gesendet wurde persönlich von deinem Server Admin / Account Manager / Insider Kontakt?
Nur für Scheiße und Kichern dachte ich, ich würde den Text, der auf dem Screenshot im OP angezeigt wird, durch den Link "Helfen Sie mir zu verstehen" einbinden ...
Wenn Sie eine Verbindung zu einer sicheren Website herstellen, zeigt der Server, auf dem diese Website gehostet wird, Ihrem Browser ein so genanntes "Zertifikat", um seine Identität zu überprüfen. Dieses Zertifikat enthält Identitätsinformationen, z. B. die Adresse der Website, die von einem Drittanbieter überprüft wird, dem Ihr Computer vertraut. Indem Sie überprüfen, ob die Adresse im Zertifikat mit der Adresse der Website übereinstimmt, können Sie sicherstellen, dass Sie sicher mit der gewünschten Website kommunizieren, und nicht mit einer dritten Partei (z. B. einem Angreifer in Ihrem Netzwerk).
Bei einem Domänenkonflikt (z. B. beim Versuch, zu einer Subdomäne auf einem Nicht-Platzhalter-Zertifikat zu wechseln) folgt dieser Absatz:
In diesem Fall stimmt die im Zertifikat angegebene Adresse nicht mit der Adresse der Website überein, zu der Ihr Browser versucht hat. Ein möglicher Grund dafür ist, dass Ihre Kommunikation von einem Angreifer abgefangen wird, der ein Zertifikat für eine andere Website bereitstellt, was zu einem Konflikt führen würde. Ein anderer möglicher Grund ist, dass der Server so eingerichtet ist, dass er das gleiche Zertifikat für mehrere Websites zurückgibt, einschließlich desjenigen, den Sie besuchen möchten, obwohl dieses Zertifikat nicht für alle diese Websites gültig ist. Chromium kann mit Sicherheit sagen, dass Sie erreicht haben, kann aber nicht bestätigen, dass es sich um dieselbe Website wie foo.admin.example.com handelt, die Sie erreichen wollten. Wenn Sie fortfahren, überprüft Chromium nicht, ob weitere Namenskonflikte vorliegen. Im Allgemeinen ist es am besten, nicht über diesen Punkt hinauszugehen.
Wenn das Zertifikat nicht von einer vertrauenswürdigen Stelle signiert wurde, folgen stattdessen diese Absätze:
In diesem Fall wurde das Zertifikat nicht von einer dritten Partei verifiziert, der Ihr Computer vertraut. Jeder kann ein Zertifikat erstellen, das behauptet, die von ihm gewählte Website zu sein, weshalb es von einer vertrauenswürdigen dritten Partei verifiziert werden muss. Ohne diese Überprüfung ist die Identitätsinformation im Zertifikat bedeutungslos. Es ist daher nicht möglich, zu überprüfen, ob Sie mit admin.example.com kommunizieren, statt mit einem Angreifer, der sein eigenes Zertifikat erstellt hat und behauptet, admin.example.com zu sein. Sie sollten nicht über diesen Punkt hinausgehen.
Wenn Sie jedoch in einer Organisation arbeiten, die ihre eigenen Zertifikate generiert, und Sie versuchen, mit einem solchen Zertifikat eine Verbindung zu einer internen Website dieser Organisation herzustellen, können Sie dieses Problem möglicherweise sicher lösen. Sie können das Stammzertifikat Ihrer Organisation als "Stammzertifikat" importieren, und dann werden von Ihrer Organisation ausgestellte oder verifizierte Zertifikate als vertrauenswürdig eingestuft. Wenn Sie das nächste Mal versuchen, eine Verbindung zu einer internen Website herzustellen, wird dieser Fehler nicht angezeigt. Wenden Sie sich an das Hilfspersonal Ihrer Organisation, um Unterstützung beim Hinzufügen eines neuen Stammzertifikats zu Ihrem Computer zu erhalten.
Diese letzten Absätze sind eine ziemlich gute Antwort auf diese Frage, denke ich. ;)
Sie tun das, weil ein SSL-Zertifikat nicht nur dazu dient, die Kommunikation über die Leitung zu sichern. Es ist auch ein Mittel, um die Quelle des Inhalts zu identifizieren, der gesichert wird (gesicherter Inhalt, der von einem Mann im mittleren Angriff über ein gefälschtes Zertifikat kommt, ist nicht sehr hilfreich).
Sofern Sie nicht von einem Dritten bestätigen lassen, dass Sie der sind, den Sie für sich halten, gibt es keinen Grund, darauf zu vertrauen, dass Ihre Informationen (die über SSL gesendet werden) sicherer sind, als wenn Sie kein SSL verwenden erster Platz.
Der springende Punkt von SSL ist, dass Sie verifizieren können, dass die Site die ist, für die sie steht. Wenn das Zertifikat nicht vertrauenswürdig ist, ist sehr wahrscheinlich , dass die Site nicht die Person ist, für die sie angegeben wurde.
Eine verschlüsselte Verbindung ist in dieser Hinsicht nur ein Nebeneffekt (das heißt, Sie können die Verbindung ohne die Verwendung von Zertifikaten verschlüsseln).
Menschen gehen davon aus, dass https-Verbindungen sicher sind, gut genug für ihre Kreditkartendaten und wichtige Passwörter. Ein Man-in-the-Middle kann die SSL-Verbindung zu Ihrer Bank oder Ihrem Paypal abfangen und Sie mit einem eigenen selbstsignierten oder anderen Zertifikat anstelle des echten Zertifikats der Bank ausstatten. Es ist wichtig, die Leute laut zu warnen, wenn ein solcher Angriff stattfinden könnte.
Wenn ein Angreifer ein falsches Zertifikat für die Domäne der Bank verwendet und von einer zwielichtigen Zertifizierungsstelle signiert wird, die die Dinge nicht ordnungsgemäß überprüft, kann er möglicherweise SSL-Datenverkehr zu Ihrer Bank abfangen, und Sie werden nicht klüger sein ein bisschen ärmer. Ohne die Popup-Warnung ist keine zwielichtige CA erforderlich, und Internet-Banking und E-Commerce wären völlig unsicher.
Warum ist das so?
Weil die meisten Leute nicht lesen. Sie tun nicht, was https bedeutet. Ein großer Fehler ist OBLIGATIV , damit die Leute es lesen.
Dies rät Web-Entwicklern dringend davon ab, eine geniale Technologie wie SSL zu nutzen, aus Angst, dass die Nutzer die Website als sehr zwielichtig empfinden.
Nein, tut es nicht. Hast du irgendwelche Beweise dafür? Dieser Anspruch ist lächerlich.
Dies ermutigt Entwickler und Nutzer zu wissen, mit wem sie es zu tun haben.
"befürchtet, dass die Nutzer die Website als extrem schattig empfinden werden"
Was bedeutet das überhaupt? Meinst du "befürchtet, dass das Fehlen eines Zertifikats bedeutet, dass Benutzer die Website extrem schattig finden werden?
Das ist keine "Angst": Das ist das Ziel.
Das Ziel ist, dass " Fehlen eines Zertifikats bedeutet, dass Benutzer die Website extrem schattig finden" Das ist der Zweck.
Nach Ihren Kommentaren zu urteilen, kann ich sehen, dass Sie verwirrt sind zwischen dem, was Sie denken, dass die Leute sagen, und dem, was sie wirklich sagen.
Warum lassen sie es so aussehen? Ist SSL nicht selbst dann, wenn es nicht vertrauenswürdig ist, besser als gar nicht?
Aber warum müssen sie den Fehler anzeigen? Sicher, ein "nicht vertrauenswürdiges" Zertifikat kann nicht garantiert werden, dass es sicherer ist als kein SSL, aber es kann nicht weniger sicher sein.
Wenn Sie nur an einer verschlüsselten Verbindung interessiert sind, ist dies wahr. Aber SSL ist für ein zusätzliches Ziel konzipiert: Identifizierung. Also, Zertifikate.
Ich spreche nicht über Zertifikate, die nicht mit der Domain übereinstimmen (ja, das ist ziemlich schlecht). Ich spreche über Zertifikate, die von Behörden unterzeichnet wurden, die nicht in den vertrauenswürdigen Zertifizierungsstellen des Browsers enthalten sind (z. B. selbstsigniert).
Wie können Sie dem Zertifikat vertrauen, wenn es niemandem vertraut, dem Sie vertrauen?
Bearbeiten
Die Notwendigkeit, Man-in-the-Middle-Angriffe zu verhindern, entsteht, weil Sie versuchen, eine privilegierte Verbindung herzustellen.
Was Sie verstehen müssen, ist, dass es bei einfachem HTTP keinerlei Sicherheitsversprechen gibt und jeder den über die Verbindung übertragenen Inhalt lesen kann. Daher geben Sie keine sensiblen Informationen weiter. Es besteht keine Notwendigkeit für eine Warnung, da Sie keine vertraulichen Informationen übertragen.
Wenn Sie HTTPS verwenden, geht der Browser davon aus, dass Sie vertrauliche Informationen übertragen, andernfalls würden Sie einfaches HTTP verwenden. Daher macht es einen großen Aufwand, wenn es die Identität des Servers nicht überprüfen kann.
Warum ist das so?
Wenn es eine Website gibt, die vorgibt, eine legitime Site zu sein, möchten Sie wirklich darüber als Benutzer wissen!
Sehen Sie, eine sichere Verbindung zum Angreifer ist überhaupt nicht gut, und jeder Mann und sein Hund können ein selbstsigniertes Zertifikat erstellen. Es gibt kein inhärentes Vertrauen in ein selbstsigniertes Zertifikat von irgendjemandem, mit Ausnahme der Vertrauenswurzeln, die Sie in Ihrem Browser installiert haben. Die Standardgruppe von Vertrauenswurzeln wird (sorgfältig!) Vom Browserhersteller ausgewählt, mit dem Ziel, dass nur CAs, die nur vertrauenswürdig agieren, dem System vertraut werden, und das funktioniert meistens. Sie können auch eigene Vertrauenswurzeln hinzufügen. Wenn Sie eine private Zertifizierungsstelle zum Testen verwenden, sollten Sie dies tun.
Dies rät Web-Entwicklern dringend davon ab, eine geniale Technologie wie SSL zu nutzen, aus Angst, dass die Nutzer die Website als sehr zwielichtig empfinden. Legitimierte Websites (dh Phishing-Websites) funktionieren problemlos mit HTTP, sodass dies kein Problem darstellen kann.
Was ?! Sie können ein legitimes Zertifikat für sehr wenig bekommen. Sie können Ihre eigene Vertrauenswurzel kostenlos einrichten (plus etwas Arbeit). Jeder, der sich über dieses Thema auslässt und darüber stöhnt, ist einfach faul und / oder zu billig und ich habe kein Verständnis für solche Einstellungen.
Im Idealfall sucht ein Browser nach Informationen, die Sie schützen möchten (z. B. Kreditkartennummern), und löst diese Warnung aus, wenn versucht wurde, diese Daten über einen unsicheren oder unsachgemäß gesicherten Kanal zu senden . Leider ist es schwer zu wissen, ob die Daten privat sind oder nicht. Genau wie es ein EVIL-Bit nicht gibt, gibt es auch kein PRIVATE-Bit. (Vielleicht könnte ein durchdringendes Metadatensystem das tun ... Ja, richtig. Vergiss es.) Also tun sie nur das Beste, was sie können, und zeigen Situationen an, in denen es sehr wahrscheinlich ist, dass es ein Problem gibt.
Warum sehen sie so aus wie eine große Sache? Ist SSL nicht auch wenn nicht vertrauenswürdig, besser als gar nicht?
Mit welchem Bedrohungsmodell haben Sie es zu tun?
Browser-Hersteller haben sich auf den Fall konzentriert, wo jeder ein SSL-Zertifikat synthetisieren kann (weil das tatsächlich der Fall ist) und DNS-Hacks sind allgegenwärtig; Die Kombination dieser Möglichkeiten bedeutet, dass Sie nicht wissen können, dass die IP-Adresse, die Sie für einen Hostnamen haben, dem legitimen Eigentümer dieser Domäne entspricht und dass jeder behaupten kann, diese Domäne zu besitzen. Ah, aber Sie vertrauen stattdessen einer Zertifizierungsstelle, um zumindest zu überprüfen, dass sie das Zertifikat an die richtige Person ausstellen, und das wiederum genug ist (plus ein paar andere Dinge), um zu ermöglichen, herauszufinden, ob Sie mit der legitimer Besitzer der Domain; Es bietet eine Grundlage für den Rest des Vertrauens, das mit einer sicheren Konversation verbunden ist. Hoffentlich hat die Bank andere nicht blockierbare Mitteilungen benutzt (zB einen Brief per Post), um den Leuten zu sagen, dass die Identität der Seite richtig ist (EV hilft hier ein wenig), aber das ist immer noch ein bisschen Hilfe wie unverschämt manche Benutzer sind.
Die Probleme damit kommen von CAs, die keine ordnungsgemäßen Kontrollen anwenden (offen gesagt, sie sollten aus dem Soßenzug gestrichen werden, weil sie ihre Pflicht nicht erfüllen) und Benutzer, die irgendjemandem etwas erzählen. Du kannst nicht verhindern, dass sie absichtlich ihre eigenen CC # auf einem öffentlichen Forum veröffentlichen, das von irgendwelchen zwielichtigen Charakteren aus Smolensk [1] ausgeführt wird, egal wie dumm eine Idee ist ...
[1] Nicht, dass mit dieser Stadt etwas nicht stimmt. Der Punkt wäre der gleiche, wenn Sie Tallahassee, Ballarat, Lagos, Chonqing, Bogota, Salerno, Durban, Mumbai, ... ersetzen würden. Es gibt Abschaum überall.