it-swarm-ja.com

httpsで実際のWebページを提供せず、眉間に表示されないファイルのみを提供するWebサイトでhttps証明書を表示するにはどうすればよいですか?

truecrypt.org のようなドメインでは、httpsを介して実際のWebサイトを表示することはできませんが、ファイルの署名またはpgpキーをダウンロードすると、httpsを介して送信されます。しかし、Firefoxはこの状況で証明書を見る可能性を私に与えていないようです。

できれば追加のツールをインストールせずに、証明書を確認する実際的な方法は何ですか...

4
ufotds

たとえば、Firefoxを使用して証明書を表示する場合は、リダイレクトをオフにする必要があります。

https://www.truecrypt.org サイトは http://www.truecrypt.org への301(永続的な)リダイレクトを行います。

ブラウザ/プロキシはこれを非常に真剣に受け止めているようで、その後のアクセスがリダイレクトされたアドレスに直接送信されるように301をキャッシュします。

Firefoxでは次のことができます

  1. キャッシュの消去
  2. About:configでキャッシュを無効にし、browser.cache.memory.enableおよびbrowser.cache.disk.enablefalse
  3. [オプション]/[詳細]/[一般]に移動し、リダイレクト時に警告するを確認します

これをすべて実行してから https://www.truecrypt.org に移動すると、リダイレクトしたいという警告が表示されたままになります。ただし、通常の方法で証明書を表示できます。

4
Paul

curl を使用してこの情報を取得できました。Windows/ Linux/Unix/MacOSなどで利用できます。

curl -v https://www.truecrypt.org

 * TLS_DHE_RSA_WITH_AES_256_CBC_SHA 
 *サーバー証明書を使用したSSL接続:
 *件名:CN = www.truecrypt.org、OU = Domain Control Validated、O = www.truecrypt.org 
 *開始日:2009年4月10日12:41:56 GMT 
 *有効期限:2012年4月10日12:41:56 GMT 
 *一般名:www.truecrypt.org 
 *発行者:serialNumber = 07969287、CN = Go Daddy Secure Certification 
 Authority、OU = http://certificates.godaddy.com/repository,O = "GoDaddy.com、
 Inc 。 "、L = Scottsdale、ST = Arizona、C = US 

(簡潔にするためにほとんどの出力は切り取られています)

私はこの問題(標準のブラウザツールではこれを見ることができない)をtruecrtyptWebサイトの重大なセキュリティ問題と考えています。

SSLには、暗号化と認証の2つの目的があります。この特定のケースでは、暗号化はまったく重要ではなく、認証は非常に重要です。そして彼らは:

  1. 最低グレードの証明書を使用します。これは、admin @ truecrypt.orgまたは同様のアドレスにアクセスできる誰かがその証明書を購入したことを実際に証明するだけです。

  2. ユーザーに証明書を簡単に表示させないため、証明書の検証はほとんどのユーザーにとって問題があります。

7
haimg