SSL 警告が必要な理由と、経験豊富なユーザーであっても簡単に無視できないようにする必要がある理由を理解しています。また、一般的に、銀行業務や取引、電子メールの送受信も行う日常のワークステーションで作業する場合、「ホワイト リスト」または信頼できないルート CA アプローチが最善のアプローチであることも理解しています。
Internet Explorer 8そうは言っても、インターネットにアクセスできない、新しくプロビジョニングされたテスト ボックスを使用している場合、サーバーを管理するために 1 つまたは 2 つのボタンを絶えずクリックしなければならhttps://my-vm-213.goofy.localないのは意味がありません。また、多数のホストが増減したり横ばいになったりする場合には、追加するのが愚かで、数時間以内に存在する理由がなくなるルート CA の追加に時間を費やすのは意味がありません。
私の質問はこれです: SSL チェックを「常に合格する」方法はあるでしょうか:
- Windows OS レベルですか? (
CertificatesmmcGUIcertutilなどで管理される同じサブシステム) - ブラウザレベルでは? - 特に主要なブラウザでは
Internet Explorer - Unix 系システムで可能な限り低いレベルですか? (そうだと思います
OpenSSLが、よくわかりません)
私にとっては、これは次のようになります:
( X ) Always validate SSL certificates (DANGEROUS!)
以下にさらに合理化を記す
ラボ環境や新しくプロビジョニングされた環境、または小規模ビジネス環境で、厳密にシステム関連の問題に取り組んでいる場合、機密性や整合性(またはその欠如の認識)の点でメリットはありません。いつもSSL 警告は、表示されることがわかっているので抑制します。「では、誰かがあなたがこれについてとても怠惰であることを知っていて、あなたが抑制しようとしている種類のホストを特にターゲットにしてそれを悪用したらどうなるか」と主張するかもしれませんが、その議論が成り立つのは、a) イントラネット アプリの IE8 ブラウザー互換性テストを悪用する明らかな手段がある場合、b) 仮想マシン ネットワークを誤って構成し、実際にゲートウェイ経由でパケットを送受信できるようにしている場合、およびその他の理由がある場合のみですが、最も重要なのは、c) これまでに何かをしたことがあるか違うその警告が生成されるホストで作業しているときにその警告が発生した結果。
答え1
セキュリティが必要な場合は、SSL を適切に使用してください。セキュリティが必要ない場合は、SSL を使用しないでください。
SSL を不適切に使用すると、まったく使用しない場合よりもセキュリティ、使いやすさ、可用性が損なわれます。
現在のブラウザは最終的にセキュリティを強化しましたが、これは正常な進化です。
答え2
中心となる場所はありません。
Internet Explorer の場合、DLL の一部をハックして既存の機能を置き換えることができるかもしれません。また、使用している Windows の各バージョンでそれを実行し、OS の更新後に最新の状態に維持する必要があるかもしれません。Chrome と Firefox には独自の SSL スタック (NSS) があり、これを変更する必要があります。状況は Mac OS X でも同様で、Safari は 1 つの TLS スタックを使用し、Chrome と Firefox は独自の TLS スタック (これも NSS) を使用しています。また、UNIX システムでは、現在 NSS スタックを使用している Firefox と Chrome に対処する必要があります。
これらすべての場所をハッキングするために必要な労力は、テスト サイトに使用するカスタム CA を追加するために必要な労力よりもおそらく多くなります。
答え3
SSL を削除するか、MITM スタイルの攻撃としてオンザフライで一致する証明書を作成する透過プロキシを追加する方がよい場合があります。その場合、必要なプライベート CA は 1 つだけです。これは、どのプロビジョニング システムを使用する場合でも簡単なはずです。