Apache SSL-Konfiguration und Browser <GRIPE>

Question

Natürlich sollte ich sorgfältiger darauf achten, dass der Servername in meiner Apache HTTPD.conf-Datei mit dem Zertifikat übereinstimmt. Aber der Browser ist eindeutig unglücklich, wenn das Zertifikat nicht mit der HTTP-Antwort übereinstimmt.

Ein Benutzer wurde darauf hingewiesen, dass "Sicherheitszertifikat-Probleme möglicherweise auf einen Versuch hinweisen, Sie zu täuschen oder Daten abzufangen, die Sie an den Server senden." Mein Kunde beschwert sich, dass meine Fehlkonfiguration ihren Ruf beschädigt hat, und ich kann ihren Standpunkt sehen.

Haben Browser-Anbieter festgestellt, dass, wenn die Nachricht weniger alarmierend war und die Möglichkeit einer Fehlkonfiguration einräumte, dass die Schleusen von Social Engineering überwältigend wären?

Scheint wie ein häufiger Fehler. Hat noch jemand einen ähnlichen Fallout?

Answer 1

Viele Proxy-Server funktionieren auf die gleiche Weise wie Man-in-the-Middle-Angreifer. Die Netzwerksicherheit hängt von diesen Proxyservern ab, und Ihr Vorschlag würde die Implementierung einer gemeinsamen Sicherheitspraxis erschweren. Außerdem schützt die Überprüfung die Benutzer nicht vor dem offensichtlichen Angriff einer gefälschten URL, deren "Authentizität" mit einem übereinstimmenden Zertifikat bestätigt wird.

Dieser Entwurf könnte gegen einen Brute-Force-Zertifikat Schmiedeangriff wirksam sein, der Millionen von zufälligen Fälschungen sendet. Aber ansonsten scheint es unwahrscheinlich, dass das Mismatch durch den Fälschungsversuch eines Angreifers verursacht wird. Soweit ich weiß, ist eine Zertifikatsfälschung praktisch unmöglich.