Question Comment puis-je voir un certificat https sur un site Web qui ne transmettra pas ses pages Web réelles par https, mais uniquement les fichiers qui ne s'affichent pas dans le front?


Sur un domaine comme truecrypt.org, vous ne pouvez pas voir le site Web réel à travers https, mais lorsque vous téléchargez les signatures de leurs fichiers ou leur clé pgp, ils vous l'envoient via https. Cependant, Firefox ne semble pas me permettre de consulter le certificat dans cette situation.

Quelle est une manière pratique de regarder le certificat, de préférence sans avoir à installer des outils supplémentaires ...


4
2017-11-17 19:36


origine


Comment téléchargez-vous les signatures, via Firefox ou un autre outil? Aussi, voulez-vous voir le certificat de la signature que vous avez téléchargée? Veuillez clarifier votre question. - LawrenceC
@ultrasawblade Vous pouvez afficher les informations du certificat SSL en cliquant sur le nom de l'éditeur à gauche de la barre d'adresse, puis en sélectionnant Plus d'information…. Ça ressemble à ça. Mais pour que cela fonctionne dans Firefox, vous devez avoir une page Web réelle ouverte. - Daniel Beck♦
Im désolé, je ne suis pas très bon à bien formuler, mais j'ai spécifiquement inclus le lien afin que vous puissiez voir par vous-même. les fichiers comme les signatures et leur clé pgp se trouvent sur leur page de téléchargement. - ufotds


Réponses:


Si vous voulez voir le cert avec Firefox par exemple, vous devez désactiver la redirection.

le https://www.truecrypt.org le site effectue une redirection 301 (permanente) vers http://www.truecrypt.org.

Les navigateurs / proxys semblent prendre cela très au sérieux et vont mettre en cache un 301 de telle sorte que toute visite ultérieure ira directement à l'adresse redirigée.

Dans Firefox, vous pouvez faire

  1. Vider le cache
  2. Désactiver le cache à propos de: config, set browser.cache.memory.enable et browser.cache.disk.enable à faux
  3. Allez dans Options / Avancé / Général et cochez Avertir lors de la redirection

Maintenant, si vous faites tout cela, puis allez à https://www.truecrypt.org, il devrait rester là avec un avertissement qu'il veut rediriger. Mais alors vous pouvez voir le cert de la manière habituelle.


4
2017-11-17 23:21





J'ai pu obtenir cette information en utilisant boucle, disponible pour Windows / Linux / Unix / MacOS etc.:

curl -v https://www.truecrypt.org

* Connexion SSL utilisant TLS_DHE_RSA_WITH_AES_256_CBC_SHA
* Certificat de serveur:
* sujet: CN = www.truecrypt.org, OU = contrôle de domaine validé, O = www.truecrypt.org
* Date de début: Apr 10 12:41:56 2009 GMT
* date d'expiration: 10 avril 12:41:56 2012 GMT
* nom commun: www.truecrypt.org
* issuer: serialNumber = 07969287, certification CN = Go Daddy
Autorité, OU = http: //certificates.godaddy.com/repository,O= "GoDaddy.com,
Inc. ", L = Scottsdale, ST = Arizona, C = US

(la plupart des sorties sont coupées pour la brièveté)

Je considère ce problème (que vous ne pouvez pas voir cela en utilisant les outils de navigateur standard) un grave problème de sécurité pour le site Web truecrtypt.

SSL sert à deux fins: le chiffrement et l'authentification. Dans ce cas précis, le chiffrement n’est pas du tout important et l’authentification est très importante. Et ils:

  1. Utilisez un certificat de la plus basse qualité, cela prouve vraiment que quelqu'un qui peut accéder à admin@truecrypt.org ou à une adresse similaire a acheté ce certificat.

  2. Ne permettra pas à l'utilisateur de voir le certificat facilement, donc la vérification du certificat est problématique pour la plupart des utilisateurs.


7
2017-11-17 21:56



Cela ne fonctionne que si le certificat SSL est valide. S'il n'est pas valide, il n'est pas affiché. - Calmarius