我理解为什么需要 SSL 警告,以及为什么应该防止用户(即使是经验丰富的用户)轻易忽略这些警告。我还理解,一般来说,当您在日常工作站上进行银行业务、交易或发送电子邮件时,“白名单”或受信任的不可信根 CA 方法是最佳方法。
话虽如此,如果我使用的是Internet Explorer 8刚配置的测试机,无法访问互联网,那么我必须不断地点击一两个按钮来管理服务器https://my-vm-213.goofy.local或其他情况,这是毫无意义的。如果我们要处理的主机会大量上下波动,那么我花一点时间添加根 CA 是没有意义的,因为添加这些根 CA 是愚蠢的,而且在几个小时内就没有理由存在了。
我的问题是:有没有办法“始终通过” SSL 检查:
Certificatesmmc在 Windows 操作系统级别?(由GUIcertutil等管理的相同子系统)- 在浏览器级别?- 对于任何主流浏览器,尤其是
Internet Explorer - 在类 Unix 系统上处于最低可能的级别?(我假设是这样的,
OpenSSL但我不太清楚)
对我来说,这应该是这样的:
( X ) Always validate SSL certificates (DANGEROUS!)
下面进一步解释
如果你知道你是在实验室环境、新配置的环境或小型企业环境中工作,严格地处理与系统相关的事务,那么在保密性或完整性方面(或意识到缺乏保密性或完整性)没有任何好处,当你总是抑制 SSL 警告,因为您已经知道它们会出现。我想您可能会争辩说:“好吧,如果有人知道您对此如此松懈,并利用这一点专门针对您想要抑制的那些类型的主机,那该怎么办?”但这种说法只有在以下情况下才成立:a) 有任何明显的手段可以利用您对 Intranet 应用程序的 IE8 浏览器兼容性测试,b) 您错误配置了虚拟机网络并实际上允许它通过其网关传输或接收数据包,以及其他原因,但最重要的是,c) 你曾经做过什么不同地由于在主机上工作时出现该警告,您知道会产生该警告。
答案1
如果你需要安全,那么就使用 SSL,并且要正确使用它。如果你不需要安全,那么就不要使用 SSL。
不正确使用 SSL 会比根本不使用 SSL 更加损害安全性、可用性和可用性。
现在的浏览器终于加强了安全性,这是正常的演变。
答案2
没有一个中心位置。
对于 Internet Explorer,您可能能够破解一些 DLL 并替换现有功能。并且您可能需要对所使用的每个 Windows 版本执行此操作,并在操作系统更新后保持最新状态。hrome 和 Firefox 有自己的 SSL 堆栈 (NSS),您需要更改它们。Mac OS X 上的情况类似,Safari 使用一个 TLS 堆栈,Chrome 和 Firefox 使用自己的 TLS 堆栈(再次是 NSS)。而在 UNIX 系统上,您主要必须处理 Firefox 和 Chrome,它们目前再次使用 NSS 堆栈。
入侵所有这些地方所需的努力可能比添加用于测试站点的自定义 CA 所需的努力还要多。
答案3
您可能最好添加一个透明代理来剥离 SSL,或者动态创建匹配证书作为 MITM 式攻击。这样,只需要一个私有 CA。使用任何配置系统时,这应该很容易。