Meu aplicativo é implantado como um miniaplicativo autoassinado para vários milhares de usuários em mais de 50 escolas em todo o país (na Noruega). O usuário recebe o aviso de segurança Java padrão perguntando se ele aceitará a assinatura. Quando isso acontece, o miniaplicativo funciona perfeitamente.
No entanto, há cerca de meio ano, um grupo de 7 escolas, todas sob um departamento de TI comum, parou de receber o aviso de segurança. Em vez disso, o miniaplicativo é carregado e começa a ser executado em modo não confiável, sem primeiro dar ao usuário a opção de aceitar ou rejeitar a assinatura.
O problema está nas máquinas Windows e somente quando a máquina está conectada à rede da escola. Se levarem a mesma máquina para casa, o programa funciona como deveria, com avisos de segurança e tudo mais.
Eu sei pouco sobre sistemas Windows em geral, mas acho que seria algum tipo de arquivo de política ou algo que é carregado quando uma máquina se conecta à/através da rede escolar.
Além disso, o problema só começou a ocorrer nessas 7 escolas após alterações feitas após uma violação de segurança que ocorreram há algum tempo. O departamento de TI está perplexo. Estou perplexo.
Alguma idéia, comentário, sugestão?
Responder1
Não sou especialista em segurança de navegadores, mas posso imaginar que as configurações de segurança do navegador foram alteradas para tratar todos os certificados não confiáveis (certificados autoassinados não são assinados por uma autoridade de certificação (CA) confiável, portanto podem vir de qualquer pessoa ) como inseguro como resultado da violação de segurança.
Isso combinaria com a não emissão de avisos e só posso imaginar que isso significa que a autocertificação é automaticamente marcada como não confiável, e é por isso que o miniaplicativo só é executado no modo não confiável.
Responder2
Seus usuários tentaram limpar os certificados em suas máquinas?
Painel de controle/Java/Segurança/Certificado/Excluir?
Como disse beny23, eles podem ter considerado por engano o certificado autoassinado como inseguro...
Mas isso não explicaria por que o sistema pode funcionar em casa...
Responder3
Meu melhor palpite é que os frascos autoassinados estão sendo filtrados por um proxy da web.
Existe uma opção “Permitir que os usuários concedam permissões ao conteúdo de uma autoridade não confiável” no painel de controle. Além disso, a verificação OCSP alterou a configuração padrão entre as atualizações, embora eu ache que isso provavelmente não importa para autoassinados.
Eu sugeriria fortemente não aceitar certificados autoassinados.