Introductie
De afgelopen jaren HTTPS adoptie is snel toegenomen (Google biedt een transparantieverslag die deze vooruitgang visueel toont). HTTPS maakt gebruik van SSL /TLS certificaten om gegevens te beschermen en is een van de belangrijkste beveiligingsmechanismen van browsers tegen cyberdreigingen. De webindustrie moedigt nu HTTPS aan (of vereist) als vervanging voor onveilige HTTP.
Deze extra beveiliging heeft echter onvermijdelijk de operationele complexiteit vergroot voor zowel browsergebruikers als webserverbeheerders. HTTPS is afhankelijk van componenten die mogelijk kunnen mislukken en onduidelijke foutmeldingen kunnen produceren.
Bovendien betekenen beveiligingswaarschuwingen niet noodzakelijk dat de server of browser wordt aangevallen. Verlopen, ingetrokken of verkeerd geconfigureerde certificaten kunnen ook soortgelijke berichten produceren. Om deze reden kunnen veel gebruikers in de war raken (of geïrriteerd raken) en HTTPS-fouten negeren, ook al kan het negeren van beveiligingsfoutmeldingen behoorlijk gevaarlijk zijn. (Browserproviders maken het zelfs steeds moeilijker om beveiligingswaarschuwingen te omzeilen.)
Beheerders worden geconfronteerd met de extra zorg dat de consistente weergave van beveiligingswaarschuwingen op hun websites aan bezoekers een negatief effect kan hebben op de reputatie van de site. Het is absoluut noodzakelijk dat sitebeheerders snel elk onderliggend probleem onderzoeken en oplossen.
Om u hierbij te helpen, zullen we enkele van de meest voorkomende HTTPS-foutwaarschuwingen onderzoeken, uitleggen wat ze betekenen en voorstellen hoe beheerders deze kunnen verhelpen.
"Niet vertrouwd voor deze website"
SSL /TLS certificaten worden meestal uitgegeven door externe entiteiten die worden genoemd Certificaatautoriteitenof CA's. CA's (zoals SSL.com) elk certificaat dat ze uitgeven cryptografisch ondertekenen. Hierdoor kunnen browsers bevestigen dat het certificaat voor een bepaalde website is uitgegeven door een vertrouwde CA (een die al is toegevoegd aan de certificaatarchieven van de browser).
De fout 'Niet vertrouwd' betekent dat een webserver een certificaat heeft gepresenteerd dat is ondertekend met een digitale handtekening die de browser niet herkent. Een browser geeft deze foutmelding in twee gevallen weer:
- De server maakt gebruik van een niet-vertrouwd zelfondertekend certificaat, of
- De certificaatinstallatie op de server is mislukt, dus de browser kan de authenticiteit niet correct verifiëren.
Zelfondertekende certificaten zijn net als normale certificaten, maar worden lokaal gemaakt door webserverbeheerders in plaats van vertrouwde CA's. Dergelijke certificaten kunnen worden gebruikt voor interne URL's, statische pagina's of websites met weinig verkeer.
Omdat zelfondertekende certificaten niet zijn gekoppeld aan een vertrouwde CA, vertrouwen browsers ze niet automatisch. Een gebruiker moet handmatig een beveiligingswaarschuwing omzeilen (doorgaans door de browser te vertellen het zelfondertekende certificaat te ‘vertrouwen’) voordat ze de site kunnen bezoeken. De procedure verschilt van browser tot browser en tenzij u precies weet wie het niet-vertrouwde certificaat heeft uitgegeven (en waarom), raden we u aan dergelijke waarschuwingen niet te omzeilen.
Het tweede geval doet zich voor wanneer een installatie mislukt (of verkeerd is uitgevoerd). Het komt vaak voor dat tussenliggende certificaten, ook wel een certificaatketen genoemd, worden weggelaten bij het uitvoeren van de installatie. Dit verbreekt de vertrouwensketen van de CA naar het website-certificaat, dus browsers herkennen het certificaat niet als vertrouwd en presenteren deze fout aan bezoekers.
Overweeg de pagina die wordt bezocht wanneer u de foutmelding "Niet vertrouwd" ontvangt. Het is zeer onwaarschijnlijk dat een pagina met veel verkeer of een pagina die gevoelige gebruikersinformatie verwerkt (zoals creditcards, factuuradressen enzovoort) een zelfondertekend certificaat zal gebruiken.
Het kan dus een van de twee mogelijkheden zijn: de server (of de verbinding) is gekaapt (en aanvallers hebben het oorspronkelijke certificaat vervangen door hun eigen certificaat) of de beheerder heeft geprobeerd het servercertificaat bij te werken en is ergens in het proces mislukt.
Voor de zekerheid raden we gebruikers aan om geen website te gebruiken die deze fout weergeeft totdat het onderliggende probleem is opgelost.
Een 'niet-vertrouwde' fout oplossen
Het wordt niet aanbevolen om zelfondertekende certificaten te gebruiken voor externe of internetgerichte pagina's, zoals inlogpagina's of het uitchecken van klanten. In feite vereisen de meeste standaarden en certificeringsdocumenten, zoals PCI-DSS, het gebruik van correct ondertekende certificaten van een geaccrediteerde CA voor een dergelijke gevoelige operatie.
Als je een certificaat van een CA hebt gekocht en deze fout nog steeds tegenkomt, moet je controleren of de installatie geen fouten heeft opgeleverd en of je de stappen correct hebt gevolgd. Als dat niet helpt, neem dan contact op met de uitgevende CA voor verdere hulp.
'Je verbinding is niet veilig'
Sommige browsers stellen mogelijk dat de verbinding 'niet privé' is in plaats van 'niet veilig', maar ze verwijzen allemaal naar hetzelfde probleem: het servercertificaat kan niet worden gevalideerd. Hier zal de browser de verbinding met de website verbreken en in plaats daarvan deze foutmelding tonen. Certificaten worden niet gevalideerd wanneer ze worden ingetrokken of verlopen.
Digitale certificaten kunnen om verschillende redenen worden ingetrokken en vertrouwde CA's onderhouden services om hun ingetrokken certificaten openbaar weer te geven. (Deze omvatten Lijst met ingetrokken certificatens (CRL's) en Online certificaatstatusprotocol (OCSP) responders.) Browsers raadplegen deze services voordat ze een certificaat vertrouwen. Gebruikers die op ingetrokken certificaten stuiten, moeten de website niet gebruiken, omdat dit betekent dat hun verbinding mogelijk wordt aangetast.
SSL-certificaten verlopen uiteraard ook na verloop van tijd en moeten worden verlengd. Dit helpt ervoor te zorgen dat alle referenties periodiek worden gecontroleerd, wat een redelijke zekerheid biedt dat het certificaat een server dekt die wordt beheerd door een legitieme eigenaar en niet een kwaadwillende aanvaller.
Hoe de "Niet veilige" fout te herstellen
We raden u aan uw certificaten te verlengen voordat ze verlopen om deze fout te voorkomen. SSL.com klanten kunnen onze geïntegreerde waarschuwingsservice voor verlopen gebruiken om te waarschuwen voor aanstaande vervaldatum van het certificaat.
"Gemengde inhoud"
Een waarschuwing voor gemengde inhoud verwijst naar componenten van HTTPS-websites die via HTTP worden opgehaald. Veelvoorkomende voorbeelden zijn externe afbeeldingen, scripts of andere elementen die onveilig worden verzonden (zelfs als ze zich op dezelfde server bevinden).
Aanvallers kunnen onbeveiligde HTTP-verbindingen misbruiken om de browser van een bezoeker (of zelfs de computer) in gevaar te brengen. Ondanks het duidelijke risico, gebruiken veel websites nog steeds HTTP om externe componenten op te halen. Om gebruikers te waarschuwen voor verbindingen met gemengde inhoud, tonen browsers een negatieve beveiligingsindicator.
Gebruikers moeten dergelijke verbindingen indien mogelijk vermijden, maar helaas hebben talloze legitieme websites dit probleem nog niet opgelost. Daarom raden we u aan voorzichtig te zijn en gezond verstand te gebruiken wanneer u ervoor kiest websites te bezoeken die de waarschuwing met gemengde inhoud weergeven.
Een "Mixed Content" -waarschuwing oplossen:
Beheerders moeten door de broncode van hun website zoeken naar URL's die beginnen met http://. Om te voorkomen dat browsers de waarschuwing voor gemengde inhoud weergeven, vervangt u alle HTTP-URL's door HTTPS (dwz ze moeten beginnen met https://) URL's die naar dezelfde bron verwijzen. De volgende fragmenten tonen een voorbeeld:
Moet veranderen in:
Als de externe server al HTTPS ondersteunt, kunt u gewoon de URL's in uw broncode wijzigen. Als u echter geen controle heeft over de externe server, moet u ofwel onderhandelen met de derde partij die de server bestuurt, of een andere service met HTTPS-ondersteuning zoeken om deze waarschuwing te elimineren.
'Naam komt niet overeen'
Browsers geven dit foutbericht weer wanneer een server een digitaal certificaat voor een andere domeinnaam presenteert. Dit kan gebeuren omdat het certificaatdomein zich heeft vergist (bijv. Certificaat aangevraagd domain.org in plaats van domain.com) tijdens de aankoop van het certificaat, door verkeerde configuratie (het presenteren van een ander certificaat in plaats van het verwachte) of omdat het certificaat niet meerdere domeinen of subdomeinen bestrijkt die op de website worden gebruikt.
Hoe de fout 'Naam komt niet overeen' te verhelpen
Als het domein niet correct is gespeld, neem dan contact op met de uitgevende CA voor mogelijke oplossingen.
Verkeerde configuratie kan worden opgelost door de site bij te werken om het juiste certificaat te gebruiken.
Als u ten slotte een website beheert die meerdere domeinen (of subdomeinen) bevat, overweeg dan om een Subject Alternative Name (SAN) -certificaat in plaats van meerdere individuele certificaten. Een enkel SAN-certificaat kan honderden verschillende domeinen en zelfs wildcard-domeinen beschermen (bijv *.ssl.com) naast het feit veel gemakkelijker te beheren en te onderhouden dan meerdere certificaten (om nog maar te zwijgen van het feit dat het misschien gemakkelijker voor uw portemonnee is).
Conclusie
Men kan HTTPS beschouwen als een zwarte doos, maar het is eigenlijk een verzameling onderling verbonden componenten die in harmonie moeten werken om effectief te zijn. De waarschuwingsberichten die we hebben beschreven, zijn een vervelend maar essentieel onderdeel van internet. We hopen dat het verstrekken van een basiskennis van die berichten gebruikers kan helpen beveiligen en beheerders efficiënter kan maken.
Bedankt voor het kiezen van SSL.com! Als u vragen heeft, neem dan contact met ons op via e-mail op Support@SSL.com, bel 1-877-SSL-SECURE, of klik gewoon op de chatlink rechts onderaan deze pagina.
