本站:
https://en-us.add-ons.mozilla.com
有一个不受信任的证书。(至少在我的浏览器上是这样的:Iceweasel 24.2.0)我觉得这非常可疑。但我对此类证书了解不够,无法确定。
有人可以启发我吗?
编辑:澄清一下,这个问题是关于:这种情况是否只发生在我身上,我可能从中间人那里下载了一个插件,还是这很正常,我从受信任的站点下载了该插件?答案似乎是,这可能没问题。Mozilla 没有在其证书中包含该特定子域。(仍然很奇怪,但是... 没问题)
答案1
不,在这种情况下你不必担心。你的下载来自同一个服务器,由 Mozilla 基金会拥有。不过下次不要再相信它了!
如何判断自己今天是否安全?使用 Chrome 时,您可以轻松获得:
您尝试访问 en-us.add-ons.mozilla.com,但实际上您访问的是一个自称是 addons.mozilla.org 的服务器。
当要https://addons.mozilla.org你会看到它看起来相同。Web 服务器可以响应具有完全相同内容的多个域。但当然,有人可能将外观和感觉复制到另一台服务器。幸运的是,在您的案例中你可以说两个域名都指向同一个服务器,(今天)使用 IPv4 的 IP 地址 63.245.216.132:
$ host addons.mozilla.org
addons.mozilla.org is an alias for addons.dynect.mozilla.net.
addons.dynect.mozilla.net has address 63.245.216.132
addons.dynect.mozilla.net has IPv6 address 2620:101:8020:5::2:132
$ host en-us.add-ons.mozilla.com
en-us.add-ons.mozilla.com is an alias
for addons-mozilla-org.mktns.services.phx1.mozilla.net.
addons-mozilla-org.mktns.services.phx1.mozilla.net has address 63.245.216.132
因此,尽管忽略了警告,在这种情况下您从预期的服务器下载。
证书都是基于信任的:你信任你的浏览器,你的浏览器信任一些“证书颁发机构”,这些机构将证书出售给网站所有者。为了更好地建立信任,证书颁发机构应该要求提供一些证据,证明域名确实归买家所有。(如果他们不这样做,那么如果有人能够捣乱DNS 服务器 和他们可以购买他们实际上并不拥有的域名的证书,然后他们可能会欺骗你的浏览器在没有任何警告的情况下接受该证书。在 Mozilla 的情况下,它甚至是扩展验证证书,因此信任度较高。)
最重要的是:网站所有者知道他们应该将证书的秘密部分保持得非常安全。没有这个秘密部分,其他网站就无法使用其他人的证书。因此,除非秘密被泄露,或者除非这两个网站拥有相同的所有者,甚至指向同一个服务器,否则en-us.add-ons.mozilla.com无法显示表明它是 的证书。addons.mozilla.org
因此,除非信任两个都DNS 和证书以某种方式被泄露:如果某个服务器告诉您的浏览器它被称为addons.mozilla.org,那么这是真的。就您而言,您下载的服务器被称为addons.mozilla.org,并且mozilla.org 归Mozilla 基金会。
现在,Mozilla可以已经购买了列出两个域名对该单个服务器有效的证书(使用所谓的主题备用名称)。但我猜你只是使用了一个旧域名,而 Mozilla 希望每个人都使用新域名,因此没有费心将旧域名也纳入证书中。
所以下次?
即使没有警告,也请始终检查 URL。浏览器可能会接受以下证书:
your-bank.something.com不警告你。但请注意,您实际上访问的是 的子域名something.com,而不是your-bank.com。如果您确实收到警告,请检查浏览器显示证书有效的网站是否确实是您实际要查找的网站。如果
your-bank.com浏览器警告您证书适用于your-bank.something.com,请确保您确实可以信任something.com。这可能表明 DNS 以某种方式受到损害,并且您的浏览器连接到了错误的服务器。
答案2
这是因为您尝试直接连接https://en-us.add-ons.mozilla.com,但是现有站点的证书文件中有此 URL:
addons.mozilla.org
如果你想确保安全,你只需要访问https://addons.mozilla.org即可。它是同一个网站。