Transferiu o Firefox Addon em addons.mozilla.COM. Certificado não confiável ignorado. Eu deveria me preocupar?

1

Este site:

link

tem um certificado não confiável. (Pelo menos com o meu navegador: Iceweasel 24.2.0) Eu acho isso altamente suspeito. Mas eu não sei o suficiente sobre esses certificados para ter certeza.

Alguém pode me esclarecer?

EDITAR : Para esclarecer, esta pergunta é sobre: Isso só acontece comigo e eu provavelmente baixei um addon de um Man in the Middle ou é normal e eu fiz o download desse addon de um site confiável? A resposta parece ser, que provavelmente estava ok. O Mozilla não incluiu esse subdomínio específico em seu certificado. (Ainda estranho, mas ... ok)

    
por AndreasT 19.04.2014 / 13:59

2 respostas

1

Não, neste caso você não precisa se preocupar. Seu download foi feito do mesmo servidor, de propriedade da Mozilla Foundation. Não confie nisso da próxima vez!

Como você pode dizer que estava seguro hoje? Ao usar o Chrome, você fica bem:

You attempted to reach en-us.add-ons.mozilla.com, but instead you actually reached a server identifying itself as addons.mozilla.org.

Ao acessar o link , você verá que parece o mesmo. Os servidores da Web podem responder a vários domínios com o mesmo conteúdo. Mas é claro, alguém poderia ter copiado a aparência para outro servidor. Felizmente, no seu caso você pode dizer que ambos os domínios se referem ao mesmo servidor, (hoje) usando o endereço IP 63.245.216.132 para IPv4:

$ host addons.mozilla.org
addons.mozilla.org is an alias for addons.dynect.mozilla.net.
addons.dynect.mozilla.net has address 63.245.216.132
addons.dynect.mozilla.net has IPv6 address 2620:101:8020:5::2:132
$ host en-us.add-ons.mozilla.com
en-us.add-ons.mozilla.com is an alias 
    for addons-mozilla-org.mktns.services.phx1.mozilla.net.
addons-mozilla-org.mktns.services.phx1.mozilla.net has address 63.245.216.132

Portanto, apesar de ignorar o aviso, neste caso você baixou do servidor esperado.

Os certificados são todos baseados em confiança: você confia no seu navegador, o seu navegador confia em algumas "autoridades de certificação" e as empresas vendem certificados para proprietários de sites. Para uma melhor confiança, a autoridade de certificação deveria ter solicitado alguma prova de que o (s) domínio (s) são de fato de propriedade do comprador. (Se não, então se alguém é capaz de mexer com servidores DNS e poderia comprar um certificado para um domínio que eles realmente não possuem, então eles podem enganar o seu navegador para aceitar isso sem qualquer aviso.No caso do Mozilla, é mesmo um Extended Validation Certificate , então a confiança é alta.)

E o mais importante: os proprietários de sites sabem que devem manter as partes secretas de seus certificados muito seguras. Sem essa parte secreta, outro site não pode usar o certificado de outra pessoa. Portanto, en-us.add-ons.mozilla.com não pode mostrar um certificado que diz que é addons.mozilla.org , a menos que os segredos tenham sido comprometidos, ou a menos que os dois sites simplesmente tenham o mesmo proprietário ou mesmo se refiram ao mesmo servidor.

Assim, a menos que a confiança de ambos DNS e o certificado fiquem comprometidos: se um servidor informar ao seu navegador que ele é conhecido como addons.mozilla.org , então isso é verdade. No seu caso, o servidor do qual você fez o download é conhecido como addons.mozilla.org e mozilla.org é de propriedade do Fundação Mozilla.

Agora, o Mozilla poderia ter comprado um certificado que lista ambos os domínios como sendo válidos para esse servidor único (usando o chamado Subject Alternative Name ). Mas eu acho que você acabou de usar um domínio antigo, e a Mozilla está esperando que todos usem o novo, e, portanto, não se incomodou em obter o domínio antigo no certificado também.

Então, da próxima vez?

  • Mesmo que não haja avisos, verifique sempre o URL. Um navegador pode aceitar um certificado para, por exemplo, your-bank.something.com sem avisar você . Mas, em seguida, tenha cuidado ao visitar um subdomínio de something.com , não your-bank.com .

  • Se você receber um aviso, verifique se o site para o qual o certificado diz que o certificado é válido é realmente o site que você está procurando. Se a opção your-bank.com fizer seu navegador avisá-lo de que o certificado é de your-bank.something.com , verifique se você realmente pode confiar em something.com . Isso pode indicar que o DNS foi de alguma forma comprometido e seu navegador conectado ao servidor errado.

por 19.04.2014 / 16:25
0

Isso porque você está tentando se conectar a https://en-us.add-ons.mozilla.com diretamente, mas o certificado no site em questão tem esse URL no arquivo:

addons.mozilla.org

Tudo o que você precisa fazer para garantir a segurança é simplesmente ir para https://addons.mozilla.org . É o mesmo site.

    
por 19.04.2014 / 14:16