Qual é o verdadeiro nível de perigo quando um certificado SSL é inválido?

Navegue suas respostas
5

Sou relativamente experiente em tecnologia, mas não sou especialista em segurança. No meu entender, um certificado SSL inválido é apenas um problema se você for fornecer algum tipo de informação potencialmente explorável para um site e não tiver certeza de que o site em que você está é de propriedade da organização em que você acredita ser.

Eu pergunto porque meu local de trabalho usa filtragem de conteúdo que torna inválido todo certificado SSL. O navegador vê o site como originário do servidor de filtragem de conteúdo na rede em vez do servidor real do qual o site está sendo servido. Estou tentado a simplesmente desligar a verificação de certificados completamente no meu navegador (Firefox) porque ele não está fazendo nada para mim além de criar problemas, mas eu queria verificar se há alguma faceta do problema que possa estar faltando. Eu sou inteligente o suficiente para garantir que o site que estou visitando seja o site que eu acho que estou visitando sem a confirmação do certificado, então, com base em meu entendimento, eu não deveria ter nenhum problema.

    
por Chris Pratt 25.05.2011 / 20:09

2 respostas

2

Basicamente, com esse tipo de proxy, o seu empregador pode ver até mesmo informações bancárias e tais via SSL, porque eles têm uma cópia não criptografada através do proxy. Seu computador está solicitando uma página da Web do servidor proxy e, em seguida, o servidor proxy do seu empregador está solicitando as páginas do destino em seu nome, e o software proxy obtém uma cópia não criptografada porque está no meio. Assim, o proxy pode ver o conteúdo de todas as páginas da web que você vê. A única maneira de proteger o SSL é quando o seu PC e o PC de destino falam diretamente via SSL.

Seu navegador está avisando corretamente que suas informações não são seguras. Eu acho que a conexão entre os três pontos ainda está usando criptografia, então o mundo inteiro não pode ver isso - apenas seu empregador.

Uma nota para lembrar, mesmo com o SSL ativado corretamente, seu empregador ainda pode ver os URLs (na barra de endereço do navegador) para onde você acessa. A maioria dos mecanismos de busca como o google colocam muitas informações no URL (palavras que você pesquisou, etc.).

    
por 29.09.2012 / 05:54
1

O principal problema, IMHO, é que o seu navegador (ou o navegador do seu cliente) está sempre reclamando de certificados inválidos. Se isso acontece de vez em quando, você vai e verifica se é um erro ou não. Se isso acontecer toda vez que você parar de checar. Quero dizer, a sua informação pode estar segura de sniffing porque você está criptografando o canal de comunicação, mas você pode estar falando com um servidor não autorizado, e isso poderia ser facilmente explorado.

    
por 25.05.2011 / 20:19

Tags

Execute a ação quando o conteúdo da área de transferência corresponder a regex RunOnce / Explorer?