Wprowadzenie
W ostatnich latach HTTPS adopcja gwałtownie wzrasta (Google zapewnia raport przejrzystości który pokazuje ten postęp bardziej wizualnie). HTTPS używa SSL /TLS certyfikaty do ochrony danych i jest jednym z najważniejszych mechanizmów bezpieczeństwa przeglądarek przed cyberzagrożeniami. Branża internetowa zachęca teraz (lub wymaga) HTTPS jako zamiennika niezabezpieczonego HTTP.
Jednak to dodatkowe bezpieczeństwo nieuchronnie zwiększyło złożoność operacyjną zarówno użytkowników przeglądarek, jak i administratorów serwerów WWW. HTTPS zależy od komponentów, które mogą potencjalnie ulec awarii i powodować niejasne komunikaty o błędach.
Ponadto ostrzeżenia bezpieczeństwa nie muszą oznaczać, że serwer lub przeglądarka są atakowane. Wygasłe, unieważnione lub źle skonfigurowane certyfikaty również mogą generować podobne komunikaty. Z tego powodu wielu użytkowników może się zdezorientować (lub zirytować) i zignorować błędy HTTPS, nawet jeśli ignorowanie komunikatów o błędach bezpieczeństwa może być dość niebezpieczne. (W rzeczywistości dostawcy przeglądarek utrudniają ominięcie ostrzeżeń dotyczących bezpieczeństwa).
Administratorzy borykają się z dodatkową obawą, że konsekwentne wyświetlanie ostrzeżeń dotyczących bezpieczeństwa w ich witrynach internetowych może mieć negatywny wpływ na reputację witryny. Konieczne jest, aby administratorzy witryny szybko zbadali i naprawili wszelkie podstawowe problemy.
Aby temu zaradzić, przeanalizujemy niektóre z najczęstszych ostrzeżeń o błędach HTTPS, wyjaśnimy ich znaczenie i zasugerujemy, jak administratorzy mogą je naprawić.
„Niezaufany w tej witrynie”
SSL /TLS certyfikaty są zwykle wydawane przez podmioty zewnętrzne o nazwie Urzędy certyfikacjilub urzędy certyfikacji. Urzędy certyfikacji (takie jak SSL.com) podpisują kryptograficznie każdy wystawiony przez siebie certyfikat. Umożliwia to przeglądarkom potwierdzenie, że certyfikat dla określonej witryny internetowej został wydany przez zaufany urząd certyfikacji (taki, który został już dodany do magazynów certyfikatów przeglądarki).
Błąd „Niezaufany” oznacza, że serwer WWW przedstawił certyfikat podpisany podpisem cyfrowym, którego przeglądarka nie rozpoznaje. Przeglądarka wyświetli ten komunikat o błędzie w dwóch przypadkach:
- Serwer używa niezaufanego samopodpisany certyfikat lub
- Instalacja certyfikatu na serwerze nie powiodła się, więc przeglądarka nie może poprawnie zweryfikować jego autentyczności.
Certyfikaty z podpisem własnym są jak zwykłe certyfikaty, ale są tworzone lokalnie przez administratorów serwera WWW zamiast zaufanych urzędów certyfikacji. Takie certyfikaty mogą być używane do wewnętrznych adresów URL, stron statycznych lub witryn o niskim natężeniu ruchu.
Ponieważ certyfikaty z podpisem własnym nie są połączone z zaufanym urzędem certyfikacji, przeglądarki nie ufają im automatycznie. Użytkownik musi ręcznie ominąć ostrzeżenie o zabezpieczeniach (zazwyczaj mówiąc przeglądarce, aby „zaufała” samopodpisanemu certyfikatowi), zanim będzie mógł odwiedzić witrynę. Procedura różni się w zależności od przeglądarki i jeśli nie wiesz dokładnie, kto wydał niezaufany certyfikat (i dlaczego), zalecamy unikanie omijania takich ostrzeżeń
Drugi przypadek występuje, gdy instalacja nie powiedzie się (lub zostanie wykonana nieprawidłowo). Częstym zjawiskiem jest pomijanie certyfikatów pośrednich, zwanych także łańcuchem certyfikatów, podczas przeprowadzania instalacji. To zrywa łańcuch zaufania od urzędu certyfikacji do certyfikatu witryny, dlatego przeglądarki nie rozpoznają certyfikatu jako zaufanego i prezentują ten błąd odwiedzającym.
Gdy pojawia się błąd „Niezaufany”, rozważ odwiedzoną stronę. Strona o dużym natężeniu ruchu lub strona obsługująca poufne informacje o użytkowniku (takie jak karty kredytowe, adresy rozliczeniowe itp.) Prawdopodobnie nie używa certyfikatu z podpisem własnym.
Zatem może to być jedna z dwóch możliwości: serwer (lub połączenie) został przejęty (a atakujący zastąpili oryginalny certyfikat własnym) lub administrator próbował zaktualizować certyfikat serwera i gdzieś nie powiódł się.
Ze względu na ostrożność zalecamy użytkownikom unikanie korzystania z witryn wyświetlających ten błąd, dopóki problem nie zostanie rozwiązany.
Jak naprawić błąd „Niezaufany”
Nie zaleca się używania certyfikatów z podpisem własnym do stron zewnętrznych lub internetowych, takich jak strony logowania lub wymeldowania z klienta. W rzeczywistości większość dokumentów dotyczących norm i certyfikatów, takich jak PCI-DSS, wymaga użycia odpowiednio podpisanych certyfikatów z akredytowanego urzędu certyfikacji do każdej tak wrażliwej operacji.
Jeśli kupiłeś certyfikat od urzędu certyfikacji i nadal napotykasz ten błąd, sprawdź, czy instalacja nie spowodowała żadnych błędów i czy postępujesz zgodnie z instrukcjami. Jeśli to nie pomoże, skontaktuj się z wydającym urzędem certyfikacji w celu uzyskania dalszej pomocy.
„Twoje połączenie nie jest bezpieczne”
Niektóre przeglądarki mogą stwierdzać, że połączenie nie jest „prywatne” zamiast „niezabezpieczone”, ale wszystkie odnoszą się do tego samego problemu: certyfikatu serwera nie można zweryfikować. W tym przypadku przeglądarka zakończy połączenie z witryną i wyświetli ten komunikat o błędzie. Certyfikaty nie są sprawdzane, gdy zostaną odwołane lub wygasły.
Certyfikaty cyfrowe mogą być odwołane z wielu powodów, a zaufane urzędy certyfikacji utrzymują usługi publicznego wyświetlania odwołanych certyfikatów. (Obejmują one Lista odwołania certyfikatóws (CRL) i Protokół statusu certyfikatu online (Respondenci OCSP).) Przeglądarki konsultują się z tymi usługami, zanim zaufają certyfikatowi. Użytkownicy natrafiający na odwołane certyfikaty powinni unikać korzystania ze strony internetowej, ponieważ oznacza to, że ich połączenie może zostać naruszone.
Certyfikaty SSL również tracą ważność po pewnym czasie i muszą zostać odnowione. Pomaga to zapewnić okresowe sprawdzanie wszystkich danych uwierzytelniających, zapewniając wystarczającą pewność, że certyfikat obejmuje serwer kontrolowany przez legalnego właściciela, a nie złośliwego atakującego.
Jak naprawić błąd „Niezabezpieczony”
Zalecamy odnowienie certyfikatów przed wygaśnięciem, aby uniknąć tego błędu. SSL.com klienci mogą skorzystać z naszej zintegrowanej usługi alertów o wygaśnięciu ważności, aby ostrzec o zbliżającym się wygaśnięciu certyfikatu.
„Mieszane treści”
Ostrzeżenie o mieszanej zawartości odnosi się do składników witryn HTTPS, które są pobierane przez HTTP. Typowe przykłady obejmują zdalne obrazy, skrypty lub dowolny inny element przesyłany w sposób niezabezpieczony (nawet na tym samym serwerze).
Atakujący mogą wykorzystać niezabezpieczone połączenia HTTP do złamania zabezpieczeń przeglądarki użytkownika (lub nawet komputera). Pomimo oczywistego ryzyka wiele witryn internetowych nadal używa protokołu HTTP do pobierania zdalnych składników. Aby ostrzec użytkowników przed połączeniami z mieszaną zawartością, przeglądarki wyświetlają negatywny wskaźnik bezpieczeństwa.
Użytkownicy powinni unikać wszelkich takich połączeń, jeśli to możliwe, ale niestety wiele legalnych stron internetowych nie rozwiązało jeszcze tego problemu. Dlatego zalecamy ostrożność i rozsądek przy wyborze stron internetowych wyświetlających ostrzeżenie o mieszanej zawartości.
Jak naprawić ostrzeżenie „Zawartość mieszana”:
Administratorzy powinni przeszukać kod źródłowy swojej witryny w poszukiwaniu adresów URL zaczynających się od http://. Aby powstrzymać przeglądarki przed wyświetlaniem ostrzeżenia o mieszanej zawartości, zamień wszystkie adresy URL HTTP na HTTPS (tzn. Powinny zacząć od https://) Adresy URL wskazujące na ten sam zasób. Poniższe fragmenty pokazują przykład:
Należy zmienić na:
Jeśli zdalny serwer obsługuje już HTTPS, możesz po prostu zmienić adresy URL w kodzie źródłowym. Jeśli jednak nie masz kontroli nad serwerem zdalnym, będziesz musiał negocjować ze stroną trzecią, która kontroluje serwer, lub znaleźć inną usługę z obsługą HTTPS, aby wyeliminować to ostrzeżenie.
„Niezgodność nazwy”
Przeglądarki wyświetlają ten komunikat o błędzie, gdy serwer przedstawia certyfikat cyfrowy dla innej nazwy domeny. Może się to zdarzyć, ponieważ domena certyfikatu została pomylona (np. Wniosek o certyfikat domain.org zamiast domain.com) podczas zakupu certyfikatu, przez błędną konfigurację (przedstawienie innego certyfikatu zamiast oczekiwanego) lub ponieważ certyfikat nie obejmuje wielu domen lub subdomen używanych na stronie internetowej.
Jak naprawić błąd „Niezgodność nazwy”
Jeśli domena nie jest poprawnie napisana, skontaktuj się z wydającym urzędem certyfikacji w celu uzyskania możliwych rozwiązań.
Błędną konfigurację można rozwiązać, aktualizując witrynę w celu wykorzystania prawidłowego certyfikatu.
Wreszcie, jeśli administrujesz witryną zawierającą wiele domen (lub subdomen), rozważ użycie Certyfikat alternatywnej nazwy podmiotu (SAN) zamiast kilku indywidualnych certyfikatów. Pojedynczy certyfikat SAN może chronić setki różnych domen, a nawet domeny wieloznaczne (np *.ssl.com) Oprócz tego, że o wiele łatwiejsze w zarządzaniu i utrzymaniu niż wiele certyfikatów (nie wspominając, że może być łatwiej w twoim portfelu).
Wnioski
Można myśleć o HTTPS jako o czarnej skrzynce, ale w rzeczywistości jest to zbiór połączonych ze sobą komponentów, które muszą działać w harmonii, aby był skuteczny. Opisane przez nas komunikaty ostrzegawcze są irytującą, ale istotną częścią Internetu. Mamy nadzieję, że podstawowe zrozumienie tych wiadomości pomoże chronić użytkowników i zwiększyć wydajność administratorów.
Dziękujemy za wybranie SSL.com! W razie jakichkolwiek pytań prosimy o kontakt mailowy pod adresem Support@SSL.com, połączenie 1-877-SSL-SECURElub po prostu kliknij link czatu w prawym dolnym rogu tej strony.
