5

証明書がこれらの認証局のいずれかによって検証されていないか、有効期限が切れていることを示す大きな赤い脅迫警告が表示されるという事実にもかかわらず、 HTTP を使用することと比較して何が悪いのでしょうか? それは悪いですか?

Google Chrome ( http://www.sslshopper.com/assets/images/chrome-beta-ssl-2.png ) によると、「攻撃者があなたの通信を傍受しようとしている可能性があります」。HTTP でブラウジングする場合ではなく、自己署名/期限切れの証明書の場合 (そして、無効であると明示的に検証された証明書を作成していない) の場合に、このブラウザと他のほとんどすべてのブラウザがこの警告を発するのはなぜですか? 繰り返しますが、HTTP を使用したブラウジングよりも安全性が低くなりますか?

自己署名の HTTPS 証明書を使用して Web サイトを閲覧することは、HTTP を使用してまったく同じ Web サイトを閲覧することより明らかに脅威です。これらの最新のブラウザーの動作は、誠実な企業に必要のない SSL 証明書を購入させるための詐欺ですか?

4

5 に答える 5

2

すべてのコメントとさらなる調査の後、私は自分の答えを追加します。

次の理由から、HTTP を使用するよりも、自己署名および/または期限切れの HTTPS 証明書 (ブラウザーで警告が表示される) の方が悪いと考えています。

ユーザーが HTTPS を使用して閲覧している場合、ユーザーはそれが安全であると想定し、Web サイトは有効な証明書を返す必要があります。そうでない場合 (自己署名および/または期限切れの HTTPS 証明書)、安全ではありません。これは実際の脅威であるか、証明書の構成/展開における単純な問題である可能性がありますが、それでも問題であり、このサイトに関する詳細情報がない場合、ユーザーは閲覧を停止する必要があります。

ただし、今日、ユーザーが Web サイトについてより多くの情報を持っていることに気付きました。2 人の従業員だけが Web サイト管理プラットフォームにアクセスする必要がある小さな会社を想像してみてください。この 2 人の従業員が、プラットフォームに CA (認証機関) によって署名された証明書がないことを認識している場合でも、セキュリティで保護されていない HTTP よりも、このセキュリティで保護されていない HTTPS を介して通信する方が適切です。これは、少なくとも通信が暗号化されているためです。これを行うと、攻撃を防げなくても、攻撃の可能性を減らすことができます。

とはいえ、今日 HTTPS 証明書を自由かつ迅速に配信できるとしても、高価な証明書の時代には、HTTP と HTTPS の間に中間プロトコルがあればよかったでしょう。SSL 証明書のような認証はありませんが、データが暗号化されている HTTP よりも安全なプロトコルです。

于 2013-01-23T16:51:25.993 に答える
2

自己署名証明書と認証局署名証明書は、暗号化と HTTPS 接続のみを提供しますが、セキュリティの類似点はここまでです。残念ながら、自己署名デジタル証明書では、自分のサーバーから証明書を作成した人だけがそれについて何も知りません。たとえば...この人は鍵ペアをどこに保管していますか? 他に誰が鍵ペアにアクセスできますか? 訪問者は、これがドメインの正当な所有者であることをどのように知ることができますか? ポイントは、プロセスの知識がなければ、サイトの訪問者 (技術的に熟練した訪問者でさえも) は、その HTTPS 接続を作成するキー ペアがどのように処理されたかを理解できないということです。たとえば、サイト訪問者が thawte (Symantec が所有) などの評判の良い認証局によって署名された HTTPS 接続を確認した場合、少なくとも訪問者は、ドメインの所有権が検証され、署名資格情報が信頼できる機関によって高度に保護されていることを知っています。

于 2013-02-15T02:05:38.180 に答える
1

自己署名証明書は、署名付き証明書と機能的に同等です (キーの長さが同じであると仮定します)。固有のセキュリティは同じです。ただし、証明書に誰が署名したか、または証明書を信頼する必要があるかどうかを知る方法がないため、エンド ユーザーに同じレベルのセキュリティが提供されるとは言えません。

ISP (または他の誰か) にとって、自己署名付きで送信された通信は、認証局署名付きの通信と同じように読み取るのは簡単ではありません。

于 2013-01-22T17:54:23.787 に答える
0

はい、自己署名証明書を使用する Web サイトは登録も検証もされていません。攻撃者は証明書を交換して Web サイトになりすますことができます。これらの警告をクリックしてクリックしても、違いに気付かないでしょう。

最近では SSL 証明書は無料です。これらのサービスを使用しないすべての「ウェブマスター」は無能です。実際、これらのサイトは避けるべきです。

これらの最新のブラウザーの動作は、正直な企業に SSL 証明書を購入させるための詐欺ですか?

私が言ったように: 証明書は無料です。ウェブマスターは登録するだけで済みます - これは 20 分以内に完了します。

繰り返しますが、HTTP を使用したブラウジングよりも安全性が低くなりますか?

いくつかの点で:はい、非常に重要な警告を無視するようにユーザーを「トレーニング」するためです

于 2013-01-22T16:40:17.587 に答える