Introduktion
I de senere år har HTTPS vedtagelsen er hurtigt stigende (Google leverer en gennemsigtighedsrapport der viser denne fremgang mere visuelt). HTTPS bruger SSL /TLS certifikater for at beskytte data og er en af de vigtigste browsersikkerhedsmekanismer mod cybertrusler. Webindustrien tilskynder nu (eller kræver) HTTPS som erstatning for usikker HTTP.
Denne ekstra sikkerhed har imidlertid uundgåeligt øget den operationelle kompleksitet for både browserbrugere og webserveradministratorer. HTTPS afhænger af komponenter, der potentielt kan mislykkes og producere uklare fejlmeddelelser.
Derudover betyder sikkerhedsadvarsler ikke nødvendigvis, at serveren eller browseren er under angreb. Udløbne, tilbagekaldte eller forkert konfigurerede certifikater kan også producere lignende meddelelser. Af denne grund kan mange brugere blive forvirrede (eller irriterede) og ignorere HTTPS-fejl, selvom tilsidesættelse af sikkerhedsfejlmeddelelser kan være ret farligt. (Faktisk gør browserudbydere sikkerhedsadvarsler stadig sværere at omgå.)
Administratorer står over for den ekstra bekymring, at deres websteds konsekvente visning af sikkerhedsadvarsler til besøgende kan have en negativ indvirkning på webstedets omdømme. Det er bydende nødvendigt, at webstedsadministratorer hurtigt undersøger og løser ethvert underliggende problem.
For at hjælpe med dette undersøger vi nogle af de mest almindelige HTTPS-fejladvarsler, forklarer, hvad de betyder, og foreslår, hvordan administratorer kan afhjælpe dem.
“Ikke tillid til dette websted”
SSL /TLS certifikater udstedes normalt af kaldte tredjepartsenheder Certifikatmyndighedereller CA'er. CA'er (som f.eks SSL.com) kryptografisk underskrive hvert certifikat, de udsteder. Dette giver browsere mulighed for at bekræfte, at certifikatet for et bestemt websted blev udstedt af en betroet CA (en, der allerede er føjet til browserens certifikatlagre).
Fejlen "Ikke betroet" betyder, at en webserver præsenterede et certifikat underskrevet med en digital signatur, som browseren ikke genkender. En browser viser denne fejlmeddelelse i to tilfælde:
- Serveren anvender en ikke-tillid selvsigneret certifikat eller
- Certifikatinstallationen på serveren mislykkedes, så browseren kan ikke korrekt verificere dens ægthed.
Selvunderskrevne certifikater er ligesom normale certifikater, men oprettes lokalt af webserveradministratorer i stedet for pålidelige CA'er. Sådanne certifikater kan muligvis bruges til interne webadresser, statiske sider eller websteder med lav trafik.
Da selvsignerede certifikater ikke er knyttet til en betroet CA, stoler browsere ikke på dem automatisk. En bruger skal manuelt omgå en sikkerhedsadvarsel (typisk ved at bede browseren "stole" på det selvsignerede certifikat), før de kan besøge webstedet. Proceduren varierer fra browser til browser, og medmindre du ved nøjagtigt, hvem der har udstedt det ikke-tillidte certifikat (og hvorfor), anbefaler vi, at du undgår at omgå sådanne advarsler
Det andet tilfælde opstår, når en installation mislykkes (eller udføres forkert). En almindelig forekomst er at udelade mellemcertifikater, også kaldet en certifikatkæde, når installationen udføres. Dette bryder tillidskæden fra CA til webstedets certifikat, så browsere ikke genkender certifikatet som betroet og præsenterer denne fejl for besøgende.
Når du modtager fejlen "Ikke betroet", skal du overveje den side, der besøges. Det er meget usandsynligt, at en side med høj trafik eller en håndtering af følsomme brugeroplysninger (som kreditkort, faktureringsadresser osv.) Bruger et selvsigneret certifikat.
Således kan det være en af to muligheder: serveren (eller forbindelsen) blev kapret (og angribere erstattede det originale certifikat med deres egne), eller administratoren forsøgte at opdatere servercertifikatet og mislykkedes et sted i processen.
Fejler på siden af forsigtighed, anbefaler vi, at brugerne undgår at bruge et websted, der viser denne fejl, indtil det underliggende problem er løst.
Sådan rettes en “Ikke betroet” -fejl
Det anbefales ikke at bruge selvsignerede certifikater til eksterne eller internetvendte sider, såsom loginsider eller kundeudtjekning. Faktisk kræver de fleste standarder og certificeringsdokumenter, såsom PCI-DSS, brug af korrekt underskrevne certifikater fra en akkrediteret CA til enhver så følsom handling.
Hvis du har købt et certifikat fra en CA og stadig støder på denne fejl, skal du kontrollere, at installationen ikke producerede nogen fejl, og at du har fulgt trinnene korrekt. Hvis det ikke hjælper, skal du kontakte den udstedende CA for yderligere hjælp.
“Din forbindelse er ikke sikker”
Nogle browsere oplyser muligvis, at forbindelsen er "ikke privat" i stedet for "ikke sikker", men at de alle refererer til det samme problem: servercertifikatet kan ikke valideres. Her afslutter browseren forbindelsen til webstedet og viser denne fejlmeddelelse i stedet. Certifikater bekræftes ikke, når de enten tilbagekaldes eller udløber.
Digitale certifikater kan tilbagekaldes af mange grunde, og betroede CA'er opretholder tjenester til offentligt at vise deres tilbagekaldte certifikater. (Disse inkluderer Liste over tilbagekaldelse af certifikaters (CRL'er) og Online-certifikatstatusprotokol (OCSP) respondere.) Browsere konsulterer disse tjenester, før de har tillid til et certifikat. Brugere, der snubler over tilbagekaldte certifikater, bør undgå at bruge webstedet, da dette betyder, at deres forbindelse muligvis kan kompromitteres.
SSL-certifikater udløber naturligvis også efter en periode og skal fornyes. Dette hjælper med at sikre, at alle legitimationsoplysninger periodisk kontrolleres, hvilket giver en rimelig sikkerhed for, at certifikatet dækker en server kontrolleret af en legitim ejer og ikke en ondsindet hacker.
Sådan rettes fejlen "Ikke sikker"
Vi anbefaler, at du fornyer dine certifikater, før de udløber for at undgå denne fejl. SSL.com kunder kan bruge vores integrerede udløbsadvarselsservice til at advare om kommende certifikatudløb.
“Blandet indhold”
En advarsel om blandet indhold henviser til komponenter på HTTPS-websteder, der hentes via HTTP. Almindelige eksempler inkluderer fjernbilleder, scripts eller ethvert andet element, der transmitteres usikkert (selvom på den samme server).
Angribere kan udnytte usikrede HTTP-forbindelser til at kompromittere en besøgendes browser (eller endda computer). På trods af den åbenlyse risiko bruger mange websteder stadig HTTP til at hente eksterne komponenter. For at advare brugere mod blandede indholdsforbindelser viser browsere en negativ sikkerhedsindikator.
Brugere bør om muligt undgå alle sådanne forbindelser, men desværre har adskillige legitime websteder endnu ikke løst dette problem. Derfor foreslår vi forsigtighed og brug af god bedømmelse, når du vælger at besøge websteder, der viser advarslen om blandet indhold.
Sådan rettes en advarsel om "Blandet indhold":
Administratorer skal søge gennem deres websteds kildekode efter URL'er, der starter med http://
. For at forhindre browsere i at vise advarslen om blandet indhold, skal du udskifte alle HTTP-URL'er med HTTPS (dvs. de skal starte med https://
) URL-adresser, der peger på den samme ressource. De følgende uddrag viser et eksempel:
Skal ændre sig til:
Hvis den eksterne server allerede understøtter HTTPS, kan du bare ændre URL'erne i din kildekode. Men hvis du ikke har kontrol over den eksterne server, skal du enten forhandle med den tredjepart, der kontrollerer serveren, eller finde en anden tjeneste med HTTPS-support for at fjerne denne advarsel.
"Navnefejl"
Browsere viser denne fejlmeddelelse, når en server præsenterer et digitalt certifikat for et andet domænenavn. Dette kan opstå, fordi certifikatdomænet blev forkert (f.eks. Anmodet om certifikat til domain.org
i stedet for domain.com
) under købet af certifikatet, gennem fejlkonfiguration (præsentation af et andet certifikat i stedet for det forventede) eller fordi certifikatet ikke dækker flere domæner eller underdomæner, der bruges på webstedet.
Sådan rettes fejlen "Name Mismatch"
Hvis domænet ikke er stavet korrekt, skal du kontakte den udstedende CA for mulige løsninger.
Fejlkonfiguration kan løses ved at opdatere webstedet for at bruge det rigtige certifikat.
Endelig, hvis du administrerer et websted, der indeholder flere domæner (eller underdomæner), skal du overveje at bruge en Emne alternativt navn (SAN) certifikat i stedet for flere individuelle certifikater. Et enkelt SAN-certifikat kan beskytte hundreder af forskellige domæner og endda wild-card domæner (f.eks *.ssl.com
) ud over at være meget lettere at administrere og vedligeholde end flere certifikater (for ikke at nævne, at det muligvis er lettere i din lommebog).
Konklusion
Man kan tænke på HTTPS som en sort boks, men det er faktisk en samling af sammenkoblede komponenter, der skal fungere i harmoni for at den skal være effektiv. De advarselsmeddelelser, vi har beskrevet, er en irriterende, men vital del af Internettet. Vi håber, at levering af en grundlæggende forståelse af disse meddelelser kan hjælpe med at beskytte brugerne og gøre administratorer mere effektive.
Tak for at du valgte SSL.com! Hvis du har spørgsmål, bedes du kontakte os via e-mail på Support@SSL.com, opkald 1-877-SSL-SECURE, eller bare klik på chatlinket nederst til højre på denne side.