SSL 경고가 필요한 이유와 경험이 많은 사용자라도 이를 쉽게 무시하지 못하도록 방지해야 하는 이유를 이해합니다. 또한 저는 일반적으로 "화이트 리스트" 또는 신뢰할 수 없는 루트 CA 접근 방식이 은행 업무나 거래 또는 이메일 전송을 수행하는 일상적인 워크스테이션에서 작업할 때 가장 좋은 접근 방식이라는 것을 이해합니다.
즉, Internet Explorer 8인터넷에 액세스할 수 없는 새로 제공되는 테스트 상자를 사용하는 경우 서버를 관리하기 위해 한두 개의 버튼을 계속 클릭해야 하는 것은 아무 소용이 없습니다 https://my-vm-213.goofy.local. 그리고 우리가 많은 수의 위아래로 그리고 옆으로 움직일 호스트를 다루고 있다면 추가하기에는 어리석고 내부에 존재할 이유가 없는 루트 CA를 추가하는 데 시간을 보내는 것은 의미가 없습니다. 시간.
내 질문은 이것입니다: SSL 검사를 "항상 통과"하는 방법이 있습니까?
- Windows OS 수준에서? (
CertificatesmmcGUIcertutil등 으로 관리되는 동일한 하위 시스템 ) - 브라우저 수준에서? - 특히 주요 브라우저의 경우
Internet Explorer - Unix 계열 시스템에서 가능한 가장 낮은 수준에 있습니까? (이것으로 추정되지만
OpenSSL실제로는 모르겠습니다)
나에게 이것은 다음과 같을 것이다:
( X ) Always validate SSL certificates (DANGEROUS!)
아래에서 더 많은 합리화
연구실 환경이나 새로 제공되는 환경 또는 소규모 기업 환경에서 엄격하게 시스템 관련 문제에 대해 작업하고 있다는 것을 알고 있는 경우 기밀성이나 무결성(또는 무결성 부족에 대한 인식) 측면에서 이점이 없습니다.언제나SSL 경고가 나타날 것이라는 것을 이미 알고 있기 때문에 억제하십시오. "음, 누군가가 당신이 이것에 대해 너무 느슨하다는 것을 알고 당신이 억제하려는 호스트 종류를 구체적으로 표적으로 삼아 그것을 악용한다면 어떨까요? "라고 주장할 수 있다고 가정합니다. 그러나 그 주장은 a) 명백한 수단이 있는 경우에만 유효합니다. 인트라넷 앱에 대한 IE8 브라우저 호환성 테스트를 활용하는 방법, b) 가상 머신 네트워킹을 잘못 구성하여 실제로 게이트웨이를 통해 패킷을 전송하거나 수신하도록 허용한 경우 및 기타 이유가 있지만 가장 중요한 것은c) 당신은 아무것도 해 본 적이 없습니다다르게호스트에서 작업하는 동안 해당 경고의 결과로 해당 경고가 생성될 것임을 알고 있습니다..
답변1
보안이 필요하다면 SSL을 사용하고, 적절하게 사용하세요. 보안이 필요하지 않으면 SSL을 사용하지 마십시오.
SSL을 부적절하게 사용하면 SSL을 전혀 사용하지 않는 것보다 보안, 유용성 및 가용성이 더 많이 손상됩니다.
현재 브라우저는 마침내 보안을 강화했으며 이는 정상적인 진화입니다.
답변2
중앙 장소가 없습니다.
Internet Explorer의 경우 일부 DLL을 해킹하고 기존 기능을 대체할 수 있습니다. 그리고 사용 중인 각 Windows 버전에 대해 이 작업을 수행하고 OS 업데이트 후에도 최신 상태를 유지해야 할 수도 있습니다. Chrome과 Firefox에는 변경해야 하는 자체 SSL 스택(NSS)이 있습니다. Safari가 하나의 TLS 스택을 사용하고 Chrome과 Firefox가 자체 TLS 스택(역시 NSS)을 사용하는 Mac OS X에서도 상황은 비슷합니다. 그리고 UNIX 시스템에서는 대부분 현재 NSS 스택을 사용하는 Firefox와 Chrome을 처리해야 합니다.
이러한 모든 장소를 해킹하는 데 필요한 노력은 아마도 테스트 사이트에 사용하는 사용자 지정 CA를 추가하는 데 필요한 노력보다 더 클 것입니다.
답변3
SSL을 제거하는 투명 프록시를 추가하거나 MITM 스타일 공격으로 즉석에서 일치하는 인증서를 생성하는 것이 더 나을 수도 있습니다. 이렇게 하면 사설 CA가 하나만 필요합니다. 이는 모든 프로비저닝 시스템을 사용할 때 쉬워야 합니다.