Unngå vanlige HTTPS-feil

Introduksjon

I løpet av de siste årene HTTPS adopsjonen har vært raskt økende (Google gir en åpenhetsrapport som viser denne fremgangen mer visuelt). HTTPS bruker SSL /TLS sertifikater for å beskytte data, og er en av de viktigste sikkerhetsmekanismene i nettleseren mot cybertrusler. Nettindustrien oppmuntrer (eller krever) HTTPS som erstatning for usikker HTTP.

Imidlertid har denne ekstra sikkerheten uunngåelig økt den operative kompleksiteten for både nettleserbrukere og webserveradministratorer. HTTPS er avhengig av komponenter som potensielt kan mislykkes og produserer uklare feilmeldinger.

I tillegg betyr sikkerhetsadvarsler ikke nødvendigvis at serveren eller nettleseren er under angrep. Utløpte, tilbakekalte eller feilkonfigurerte sertifikater kan også produsere lignende meldinger. Av denne grunn kan mange brukere bli forvirret (eller irritert) og ignorere HTTPS-feil, selv om å se bort fra sikkerhetsfeilmeldinger kan være ganske farlig. (Faktisk gjør nettleserleverandører sikkerhetsadvarsler stadig vanskeligere å omgå.)

Administratorer står overfor den ekstra bekymringen for at deres nettsteds konsekvente visning av sikkerhetsadvarsler til besøkende kan ha en negativ innvirkning på nettstedets omdømme. Det er viktig at nettstedsadministratorer raskt undersøker og løser eventuelle underliggende problemer.

For å hjelpe med dette, vil vi undersøke noen av de vanligste HTTPS-feilvarslene, forklare hva de betyr og foreslå hvordan administratorer kan avhjelpe dem.

“Ikke klarert for dette nettstedet”

SSL /TLS sertifikater utstedes vanligvis av tredjepartsenheter som kalles Sertifikatmyndigheter, eller CAer. CAer (som f.eks SSL.com) signer kryptografisk hvert sertifikat de utsteder. Dette gjør at nettlesere kan bekrefte at sertifikatet for et bestemt nettsted ble utstedt av en klarert CA (en som allerede er lagt til nettleserens sertifikatbutikker).

Feilen “Ikke klarert” betyr at en webserver presenterte et sertifikat signert med en digital signatur som nettleseren ikke kjenner igjen. En nettleser vil vise denne feilmeldingen i to tilfeller:

  1. Serveren bruker en ikke-tillit selvsignert sertifikat, eller
  2. Sertifikatinstallasjonen på serveren har mislyktes, så nettleseren kan ikke verifisere ektheten riktig.

Selvsignerte sertifikater er akkurat som normale sertifikater, men opprettes lokalt av webserveradministratorer i stedet for pålitelige CA-er. Slike sertifikater kan brukes for interne nettadresser, statiske sider eller nettsteder med lite trafikk.

Siden selvsignerte sertifikater ikke er koblet til en klarert CA, stoler ikke nettlesere på dem automatisk. En bruker må omgå en sikkerhetsadvarsel manuelt (vanligvis ved å fortelle nettleseren å "stole på" det selvsignerte sertifikatet) før de kan besøke nettstedet. Fremgangsmåten varierer fra nettleser til nettleser, og med mindre du vet nøyaktig hvem som har utstedt det ikke-klarerte sertifikatet (og hvorfor), anbefaler vi at du unngår å omgå slike advarsler

Det andre tilfellet oppstår når en installasjon mislykkes (eller gjøres feil). En vanlig forekomst er å utelate mellomliggende sertifikater, også kalt en sertifikatkjede, når du utfører installasjonen. Dette bryter tillitsskjeden fra CA til nettstedets sertifikat, slik at nettlesere ikke gjenkjenner sertifikatet som klarert og presenterer denne feilen for besøkende.

Når du mottar feilen "Ikke klarert", bør du vurdere siden du besøker. Det er svært usannsynlig at en side med høy trafikk eller en som håndterer sensitiv brukerinformasjon (som kredittkort, faktureringsadresser og så videre) bruker et selvsignert sertifikat.

Dermed kan det være en av to muligheter: serveren (eller tilkoblingen) ble kapret (og angripere erstattet det originale sertifikatet med sitt eget) eller administratoren prøvde å oppdatere serversertifikatet og mislyktes et sted i prosessen.

Feil på siden av forsiktighet, anbefaler vi at brukere unngår å bruke et nettsted som viser denne feilen til det underliggende problemet er løst.

Slik løser du en "Ikke klarert" feil

Det anbefales ikke å bruke selvsignerte sertifikater for eksterne sider eller internettvendte sider, for eksempel påloggingssider eller kundeutsjekking. Faktisk krever de fleste standarder og sertifiseringsdokumenter, for eksempel PCI-DSS, bruk av riktig signerte sertifikater fra en akkreditert CA for en så sensitiv operasjon.

Hvis du har kjøpt et sertifikat fra en CA og fremdeles støter på denne feilen, må du bekrefte at installasjonen ikke ga noen feil, og at du har fulgt trinnene riktig. Hvis det ikke hjelper, bør du kontakte den utstedende CA for ytterligere hjelp.

“Forbindelsen din er ikke sikker”

Noen nettlesere kan oppgi at tilkoblingen er “ikke privat” i stedet for “ikke sikker”, men at de alle refererer til det samme problemet: serversertifikatet kan ikke valideres. Her vil nettleseren avslutte forbindelsen til nettstedet og vise denne feilmeldingen i stedet. Sertifikater lar seg ikke validere når de enten blir opphevet eller utgått.

Digitale sertifikater kan tilbakekalles av mange grunner, og pålitelige CA-er opprettholder tjenester for å vise sine tilbakekalte sertifikater offentlig. (Disse inkluderer Liste over tilbakekall av sertifikaters (CRL) og  Online sertifikatstatus protokoll (OCSP) svarere.) Nettlesere konsulterer disse tjenestene før de stoler på et sertifikat. Brukere som snubler over tilbakekalte sertifikater, bør unngå å bruke nettstedet, da dette betyr at forbindelsen deres kan bli kompromittert.

SSL-sertifikater utløper også naturlig etter en periode og må fornyes. Dette bidrar til å sikre at all legitimasjon blir kontrollert med jevne mellomrom, og gir en rimelig sikkerhet for at sertifikatet dekker en server som er kontrollert av en legitim eier og ikke en ondsinnet angriper.

Slik løser du feilen “Ikke sikker”

Vi anbefaler at du fornyer sertifikatene dine før de utløper for å unngå denne feilen. SSL.com kunder kan bruke vår integrerte utløpsvarslingstjeneste for å advare om kommende sertifikatutløp.

"Blandet innhold"

En advarsel om blandet innhold refererer til komponenter på HTTPS nettsteder som blir hentet via HTTP. Vanlige eksempler inkluderer eksterne bilder, skript eller annet element som overføres usikkert (selv om det er på samme server).

Angripere kan utnytte usikrede HTTP-tilkoblinger for å kompromittere en besøkendes nettleser (eller til og med datamaskin). Til tross for den tydelige risikoen bruker mange nettsteder fortsatt HTTP for å hente eksterne komponenter. For å advare brukere mot blandede innholdsforbindelser, viser nettlesere en negativ sikkerhetsindikator.

Brukere bør unngå alle slike tilkoblinger hvis mulig, men dessverre har mange legitime nettsteder ennå ikke løst dette problemet. Derfor foreslår vi forsiktighet og bruk av god skjønn når du velger å besøke nettsteder som viser advarselen om blandet innhold.

Slik løser du en advarsel om "Blandet innhold":

Administratorer bør søke gjennom nettstedets kildekode etter nettadresser som begynner med http://. For å forhindre nettlesere fra å vise advarselen om blandet innhold, bytter du ut alle HTTP-nettadresser med HTTPS (dvs. de bør starte med https://) URL-adresser som peker til den samme ressursen. Følgende utdrag viser et eksempel:


Bør endre til:


Hvis den eksterne serveren allerede støtter HTTPS, kan du bare endre URL-ene i kildekoden. Imidlertid, hvis du ikke har kontroll over den eksterne serveren, må du enten forhandle med tredjepart som kontrollerer serveren eller finne en annen tjeneste med HTTPS-støtte for å eliminere denne advarselen.

“Navnene samsvarer ikke”

Nettlesere viser denne feilmeldingen når en server presenterer et digitalt sertifikat for et annet domenenavn. Dette kan oppstå fordi sertifikatdomenet ble feil (f.eks. Sertifikat etterspurt for domain.org istedenfor domain.com) under kjøpet av sertifikatet, gjennom feilkonfigurasjon (presentere et annet sertifikat i stedet for det forventede) eller fordi sertifikatet ikke klarer å dekke flere domener eller underdomener som brukes på nettstedet.

Slik løser du feilen "Name Mismatch"

Hvis domenet ikke er riktig stavet, må du kontakte den utstedende CA for mulige løsninger.

Feilkonfigurasjon kan løses ved å oppdatere nettstedet for å bruke riktig sertifikat.

Til slutt, hvis du administrerer et nettsted som inneholder flere domener (eller underdomener), kan du vurdere å bruke a Emne alternativt navn (SAN) sertifikat i stedet for flere individuelle sertifikater. Et enkelt SAN-sertifikat kan beskytte hundrevis av forskjellige domener og til og med jokertegn-domener (f.eks *.ssl.com) i tillegg til å være det mye lettere å administrere og vedlikeholde enn flere sertifikater (for ikke å nevne at det kan være lettere i lommeboken).

konklusjonen

Man kan tenke på HTTPS som en svart boks, men det er faktisk en samling av sammenkoblede komponenter som må fungere i harmoni for at den skal være effektiv. Advarselsmeldingene vi har beskrevet er en irriterende, men viktig del av Internett. Vi håper at å gi en grunnleggende forståelse av disse meldingene kan bidra til å holde brukerne trygge og gjøre administratorer mer effektive.

OBS: Hvis du vil ha mer informasjon om vanlige nettleserfeilmeldinger, kan du se vår nye artikkel, Feilsøking av SSL /TLS Nettleserfeil og advarsler.

Takk for at du valgte SSL.com! Hvis du har spørsmål, kan du kontakte oss via e-post på Support@SSL.com, anrop 1-877-SSL-SECURE, eller bare klikk på chat-koblingen nederst til høyre på denne siden.

Abonner på SSL.coms nyhetsbrev

Ikke gå glipp av nye artikler og oppdateringer fra SSL.com

Hold deg informert og sikker

SSL.com er en global leder innen cybersikkerhet, PKI og digitale sertifikater. Registrer deg for å motta de siste bransjenyhetene, tipsene og produktkunngjøringene fra SSL.com.

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.