Questão Como posso ver um certificado https em um site que não fornecerá suas páginas da web reais por https, mas apenas arquivos que não são exibidos na testa?


Em um domínio como truecrypt.org, você não pode ver o site real através de https, mas quando você baixar as assinaturas de seus arquivos ou sua chave pgp, eles vão enviá-lo para você através de https. No entanto firefox não parece me dar a possibilidade de olhar para o certificado nesta situação.

O que é uma maneira prática de olhar para o certificado, de preferência sem ter que instalar ferramentas extras ...


4


origem


Como você está baixando as assinaturas, através do Firefox ou outra ferramenta? Além disso, você está querendo ver o certificado da assinatura que você baixou? Por favor, esclareça sua pergunta. - LawrenceC
@ultrasawblade Você pode visualizar as informações do certificado SSL clicando no nome do editor à esquerda da barra de endereço e selecionando Mais Informações…. Se parece com isso. Mas para isso funcionar no Firefox, você precisa ter uma página da Web aberta. - Daniel Beck♦
Sinto muito, eu não sou muito bom em formular bem, mas eu incluí especificamente o link para que você possa ver por si mesmo. os arquivos como assinaturas e suas chaves pgp estão em sua página de download. - ufotds


Respostas:


Se você quiser ver o certificado usando o Firefox, por exemplo, é necessário desativar o redirecionamento.

o https://www.truecrypt.org site faz um redirecionamento 301 (permanente) para http://www.truecrypt.org.

Os navegadores / proxies parecem levar isso muito a sério e armazenam um 301 em cache, de forma que qualquer visita subseqüente vá direto para o endereço redirecionado.

No firefox você pode fazer

  1. Limpar cache
  2. Desativar cache em about: config, set browser.cache.memory.enable e browser.cache.disk.enable para falso
  3. Vá para Opções / Avançado / Geral e verifique Avisar ao redirecionar

Agora, se você fizer tudo isso, e depois ir para https://www.truecrypt.org, deve ficar lá com um aviso de que quer redirecionar. Mas então você pode ver o certificado da maneira normal.


4





Consegui obter esta informação usando ondulação, disponível para Windows / Linux / Unix / MacOS etc .:

curl -v https://www.truecrypt.org

* Conexão SSL usando TLS_DHE_RSA_WITH_AES_256_CBC_SHA
* Certificado do servidor:
* assunto: CN = www.truecrypt.org, OU = Controle de Domínio Validado, O = www.truecrypt.org
* data de início: Abr 10 12:41:56 2009 GMT
* data de expiração: 10 de abril 12:41:56 2012 GMT
* nome comum: www.truecrypt.org
* issuer: serialNumber = 07969287, CN = Certificação Go Daddy Secure
Autoridade, OU = http: //certificates.godaddy.com/repository,O= "GoDaddy.com,
Inc. ", L = Scottsdale, ST = Arizona, C = EUA

(a maior parte da saída é cortada por brevidade)

Eu considero este problema (que você não pode ver isso usando ferramentas de navegador padrão) um problema sério de segurança para o site truecrtypt.

O SSL tem dois propósitos: criptografia e autenticação. Neste caso específico, a criptografia não é importante e a autenticação é muito importante. E eles:

  1. Use o certificado de nível mais baixo, que realmente prova que alguém que pode acessar admin@truecrypt.org ou endereço similar comprou esse certificado.

  2. Não permitirá que o usuário veja o certificado facilmente, portanto, verificar o certificado é problemático para a maioria dos usuários.


7



Isso só funciona se o certificado SSL for válido. Se não for válido, então não é mostrado. - Calmarius