Entiendo por qué son necesarias las advertencias SSL y por qué se debe evitar que los usuarios, incluso los más experimentados, las ignoren fácilmente. También entiendo que, en general, la "lista blanca" o el enfoque de CA raíz confiable y no confiable es el mejor enfoque cuando se trabaja en su estación de trabajo diaria en la que también realiza operaciones bancarias, comerciales o envía correos electrónicos.
Dicho esto, si estoy usando Internet Explorer 8una caja de prueba recién equipada que no tiene acceso a Internet, no me sirve de nada tener que hacer clic en uno o dos botones constantemente para administrar un servidor en https://my-vm-213.goofy.localo cualquiera que sea el caso. Y si estamos tratando con hosts que van a subir y bajar y a los lados en grandes cantidades, no tiene sentido para mí dedicar un momento a agregar CA raíz que son estúpidas de agregar y que no tendrán una razón para existir dentro horas.
Mi pregunta es la siguiente: ¿hay alguna manera de "pasar siempre" las comprobaciones SSL?
- ¿A nivel del sistema operativo Windows? (el mismo subsistema que es administrado por la
CertificatesmmcGUI,certutiletc. - ¿A nivel del navegador? - para cualquier navegador importante, especialmente
Internet Explorer - ¿En el nivel más bajo posible en sistemas tipo Unix? (Supongo que es así
OpenSSL, pero realmente no lo sé)
Para mí esto sería algo como:
( X ) Always validate SSL certificates (DANGEROUS!)
Más racionalización a continuación
Si sabe que está trabajando en un entorno de laboratorio o en un entorno recientemente aprovisionado o en un entorno de pequeña empresa, estrictamente en cuestiones relacionadas con sistemas, no hay ningún beneficio en términos de confidencialidad o integridad (o conocimiento de la falta de las mismas) cuandosiempresuprima las advertencias SSL porque ya sabe que van a aparecer. Supongo que se podría argumentar, "bueno, ¿qué pasa si alguien sabe que eres tan negligente con esto y lo explota apuntando específicamente a ese tipo de hosts que buscas suprimir?", pero ese argumento sólo es válido si a) hay algún medio obvio de explotar sus pruebas de compatibilidad del navegador IE8 para una aplicación de Intranet, b) ha configurado mal la red de su máquina virtual y realmente le ha permitido transmitir o recibir paquetes a través de su puerta de enlace, y otras razones, pero lo más importante,c) alguna vez has hecho algodiferentementecomo resultado de esa advertencia mientras trabaja en un host que sabe que producirá esa advertencia.
Respuesta1
Si necesita seguridad, utilice SSL y úselo correctamente. Si no necesita seguridad, no utilice SSL.
El uso inadecuado de SSL perjudica más la seguridad, la usabilidad y la disponibilidad que no usarlo en absoluto.
Los navegadores actuales por fin han reforzado la seguridad y esta es la evolución normal.
Respuesta2
No hay un lugar central.
Para Internet Explorer, es posible que puedas piratear algunas DLL y reemplazar la funcionalidad existente. Y es posible que deba hacerlo para cada versión de Windows que esté utilizando y mantenerlo actualizado después de las actualizaciones del sistema operativo. Chrome y Firefox tienen sus propias pilas SSL (NSS) que deberás cambiar. La situación es similar en Mac OS X, donde Safari usa una pila TLS y Chrome y Firefox usan sus propias pilas TLS (nuevamente NSS). Y en el sistema UNIX, principalmente tienes que lidiar con Firefox y Chrome, que nuevamente usan la pila NSS actualmente.
Los esfuerzos necesarios para piratear todos estos lugares probablemente sean mayores que el esfuerzo necesario para agregar la CA personalizada que utiliza para sus sitios de prueba.
Respuesta3
Quizás sea mejor agregar un proxy transparente que elimine SSL o cree certificados coincidentes sobre la marcha como un ataque de estilo MITM. De esa forma, sólo se necesita una CA privada. Esto debería ser fácil cuando se utiliza cualquier sistema de aprovisionamiento.