Undvik vanliga HTTPS-fel

Beskrivning

Under de senaste åren, HTTPS antagandet har ökat snabbt (Google tillhandahåller en öppenhetsrapport som visar detta framsteg mer visuellt). HTTPS använder SSL /TLS certifikat för att skydda data, och är en av de viktigaste webbläsarens säkerhetsmekanismer mot cyberhot. Webbranschen uppmuntrar nu (eller kräver) HTTPS som en ersättning för osäker HTTP.

Denna ökade säkerhet har emellertid oundvikligen ökat den operativa komplexiteten för både webbläsaranvändare och webbserveradministratörer. HTTPS beror på komponenter som potentiellt kan misslyckas och producerar otydliga felmeddelanden.

Dessutom betyder säkerhetsvarningar inte nödvändigtvis att servern eller webbläsaren är under attack. Utgångna, återkallade eller felkonfigurerade certifikat kan också ge liknande meddelanden. Av denna anledning kan många användare bli förvirrade (eller irriterade) och ignorera HTTPS-fel, även om bortse från säkerhetsfelmeddelanden kan vara ganska farligt. (Faktum är att webbläsarleverantörer gör säkerhetsvarningar allt svårare att kringgå.)

Administratörer står inför den ytterligare oro för att deras webbplatsers konsekventa visning av säkerhetsvarningar för besökare kan ha en negativ inverkan på webbplatsens rykte. Det är absolut nödvändigt att webbplatsadministratörer snabbt undersöker och åtgärdar alla underliggande problem.

För att hjälpa till med detta kommer vi att undersöka några av de vanligaste HTTPS-felvarningarna, förklara vad de betyder och föreslå hur administratörer kan avhjälpa dem.

“Inte betrodda för den här webbplatsen”

SSL /TLS certifikat utfärdas vanligtvis av anropade tredjepartsenheter Certifikatutfärdareeller CA. CA: s (t.ex. SSL.com) kryptografiskt underteckna varje certifikat de utfärdar. Detta gör att webbläsare kan bekräfta att certifikatet för en viss webbplats har utfärdats av en betrodd CA (en som redan har lagts till i webbläsarens certifikatbutiker).

Felet "Inte betrodd" innebär att en webbserver presenterade ett certifikat signerat med en digital signatur som webbläsaren inte känner igen. En webbläsare visar detta felmeddelande i två fall:

  1. Servern använder en osäkerhet självsignerade certifikat eller
  2. Certifikatsinstallationen på servern har misslyckats, så webbläsaren kan inte verifiera dess äkthet korrekt.

Självsignerade certifikat är precis som vanliga certifikat, men skapas lokalt av webbserveradministratörer istället för pålitliga CA: er. Sådana certifikat kan användas för interna webbadresser, statiska sidor eller webbplatser med låg trafik.

Eftersom självsignerade certifikat inte är länkade till en betrodd certifikatutfärdare litar webbläsare inte på dem automatiskt. En användare måste manuellt kringgå en säkerhetsvarning (vanligtvis genom att be webbläsaren att "lita på" det självsignerade certifikatet) innan de kan besöka webbplatsen. Förfarandet varierar från webbläsare till webbläsare och om du inte vet exakt vem som utfärdat det otillförlitliga certifikatet (och varför) rekommenderar vi att du undviker att kringgå sådana varningar

Det andra fallet inträffar när en installation misslyckas (eller görs fel). En vanlig förekomst är att utelämna mellanliggande certifikat, även kallad certifikatkedja, när installationen utförs. Detta bryter kedjan av förtroende från CA till webbplatsens certifikat, så att webbläsare inte känner igen certifikatet som betrodd och presenterar detta fel för besökare.

När du får felet "Inte betrodd" ska du tänka på vilken sida du besöker. En hög trafiksida eller en som hanterar känslig användarinformation (som kreditkort, faktureringsadresser och så vidare) är mycket osannolikt att man använder ett självsignerat certifikat.

Således kan det vara en av två möjligheter: servern (eller anslutningen) kapades (och angriparna ersatte det ursprungliga certifikatet med sina egna) eller administratören försökte uppdatera servercertifikatet och misslyckades någonstans i processen.

Följer på sidan av försiktighet, rekommenderar vi att användare undviker att använda någon webbplats som visar detta fel tills det underliggande problemet har lösts.

Hur du åtgärdar ett "Inte betrodd" -fel

Det rekommenderas inte att använda självsignerade certifikat för externa sidor som är vända mot internet, till exempel inloggningssidor eller kundutcheckning. Faktum är att de flesta standarder och certifieringsdokument, till exempel PCI-DSS, kräver användning av korrekt signerade certifikat från en ackrediterad CA för alla sådana känsliga åtgärder.

Om du har köpt ett certifikat från en CA och fortfarande stöter på det här felet bör du kontrollera att installationen inte gav några fel och att du har följt stegen korrekt. Om det inte hjälper, bör du kontakta den utfärdande CA för ytterligare hjälp.

“Din anslutning är inte säker”

Vissa webbläsare kan säga att anslutningen är "inte privat" istället för "inte säker" men de hänvisar alla till samma problem: servercertifikatet kan inte valideras. Här avslutar webbläsaren anslutningen till webbplatsen och visar detta felmeddelande istället. Certifikaten kan inte valideras när de antingen återkallas eller upphör att gälla.

Digitala certifikat kan återkallas av många skäl, och betrodda CA: er upprätthåller tjänster för att offentliggöra sina återkallade certifikat. (Dessa inkluderar Certifikat återkallande listas (CRL) och  Online-certifikatstatusprotokoll (OCSP) -svarare.) Webbläsare konsulterar dessa tjänster innan de litar på ett certifikat. Användare som snubblar över återkallade certifikat bör undvika att använda webbplatsen, eftersom det innebär att deras anslutning kan äventyras.

SSL-certifikat löper naturligtvis ut efter en tidsperiod och måste förnyas. Detta hjälper till att säkerställa att alla referenser regelbundet kontrolleras, vilket ger en rimlig säkerhet att certifikatet täcker en server som kontrolleras av en legitim ägare och inte en skadlig angripare.

Hur du åtgärdar felet "Inte säkert"

Vi rekommenderar att du förnyar dina certifikat innan de löper ut för att undvika detta fel. SSL.com kunder kan använda vår inbyggda larmtjänst för att varna för kommande certifikatets utgång.

"Blandat innehåll"

En varning med blandat innehåll hänvisar till komponenter på HTTPS-webbplatser som hämtas via HTTP. Vanliga exempel inkluderar fjärrbilder, skript eller något annat element som överförs på ett säkert sätt (även om på samma server).

Angripare kan utnyttja oskyddade HTTP-anslutningar för att äventyra en besökares webbläsare (eller till och med dator). Trots den uppenbara risken använder många webbplatser fortfarande HTTP för att hämta fjärrkomponenter. För att varna användare mot blandade innehållsanslutningar visar webbläsare en negativ säkerhetsindikator.

Användare bör undvika alla sådana anslutningar om möjligt, men tyvärr har många legitima webbplatser ännu inte löst det här problemet. Därför föreslår vi försiktighet och användning av gott omdöme när du väljer att besöka webbplatser som visar varning om blandat innehåll.

Hur man fixar en "blandat innehåll" -varning:

Administratörer bör söka via sin webbplats källkod efter webbadresser från och med http://. För att hindra webbläsare från att visa varningen för blandat innehåll ersätter du alla HTTP-webbadresser med HTTPS (dvs. de bör börja med https://) URL: er som pekar på samma resurs. Följande utdrag visar ett exempel:



Bör ändras till:




Om fjärrservern redan stöder HTTPS kan du bara ändra webbadresserna i din källkod. Men om du inte har kontroll över fjärrservern måste du antingen förhandla med den tredje part som kontrollerar servern eller hitta en annan tjänst med HTTPS-stöd för att eliminera denna varning.




“Namnavvikelse”


Webbläsare visar detta felmeddelande när en server presenterar ett digitalt certifikat för ett annat domännamn. Detta kan inträffa eftersom certifikatdomänen var felaktig (t.ex. certifikat begärt för domain.org istället för domain.com) under köpet av certifikatet, genom felkonfiguration (presentera ett annat certifikat istället för det förväntade) eller eftersom certifikatet inte täcker flera domäner eller underdomäner som används på webbplatsen.


Hur du åtgärdar felet "Name Mismatch"


Om domänen inte är korrekt stavad, bör du kontakta den utfärdande CA för möjliga lösningar.


Felkonfiguration kan lösas genom att uppdatera webbplatsen för att använda rätt certifikat.


Slutligen, om du administrerar en webbplats som innehåller flera domäner (eller underdomäner), överväga att använda a Ämne alternativt namn (SAN) certifikat istället för flera enskilda certifikat. Ett enda SAN-certifikat kan skydda hundratals olika domäner och till och med vildkortsdomäner (t.ex. *.ssl.com) utöver att vara mycket lättare att hantera och underhålla än flera certifikat (för att inte tala om att det kan vara enklare i din fickbok).




Slutsats


Man kan tänka på HTTPS som en svart ruta, men det är faktiskt en samling sammankopplade komponenter som måste fungera i harmoni för att den ska vara effektiv. Varningsmeddelandena som vi har beskrivit är en irriterande men viktig del av Internet. Vi hoppas att tillhandahålla en grundläggande förståelse för dessa meddelanden kan hjälpa användarna att skydda och göra administratörer mer effektiva.


Notera: För mer information om vanliga webbläsarfelmeddelanden, se vår nya artikel, Felsökning av SSL /TLS Webbläsarfel och varningar.


Gå till toppen


Tack för att du valde SSL.com! Om du har några frågor, vänligen kontakta oss via e-post på Support@SSL.com, ring upp 1-877-SSL-SECURE, eller bara klicka på chattlänken längst ner till höger på denna sida.


		

				

				

				

					

			
			

									

						

							Nick Naziridis						

					

				
									

						CA-administratör - teknisk författare					

				
									
						Alla inlägg					
							

		

				

				

					

		

				

			

								

				

			
Relaterade artiklar
		

				

				

				

					

				
				
				
				
				
				

		
				

				

				

				

					

			
						
						
							
						Visa alla artiklar
		
					
		

				

				

				

				

					

							
					
						Facebook
											
				
							
					
						youtube
											
				
							
					
						Twitter
											
				
							
					
						Github
											
				
					

				

				

				

				

			
Prenumerera på SSL.coms nyhetsbrev
		

				

				

				

					

			
			
			

							
			
			

								

												
														
											

								

					
				

			

		

				

				

				

				

			
Vad är SSL /TLS?
		

				

				

				

					

							

																											

														Spela filmen
						

									

					

				

				

					

		

							

		

				

						

					

			

								

				

			
Prenumerera på SSL.coms nyhetsbrev

		

				

				

				

					

			
			
			

							
			
			

								

												
														
											

								

					
				

			

		

				

				

				

				

							Missa inte nya artiklar och uppdateringar från SSL.com						

				

					

		

							

		

						

		
	







	    
    
    
 
 


 

    
    



					
				 
    
    
  
  
  
  
		

								

						

					

			

					

								

				

																														

				

				

				

			
Håll dig informerad och säker
		

				

				

				

							


SSL.com är en global ledare inom cybersäkerhet, PKI och digitala certifikat. Registrera dig för att få de senaste branschnyheterna, tipsen och produktmeddelanden från SSL.com.


						

				

				

				

					

			
			
			

							
			
			

								

												
														
											

								

					
				

			

		

				

				

					

		

							

		

						

				

								

						

					

			

								

				

					

			
						
		

				

				

				

						

					

			

								

				

																														

				

				

				

							
Vi vill gärna ha din feedback


Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.
						

				

				

				

					

			
						
						Ta undersökning