Entendo por que os avisos de SSL são necessários e por que os usuários, mesmo os mais experientes, devem ser impedidos de ignorá-los facilmente. Também entendo que, em geral, a abordagem de "lista branca" ou CA raiz confiável e não confiável é a melhor abordagem ao trabalhar em sua estação de trabalho diária na qual você também faz transações bancárias, negociações ou envio de e-mails.
Dito isto, se eu estiver usando Internet Explorer 8uma caixa de teste recém-provisionada que não tem acesso à Internet, não adianta clicar em um ou dois botões constantemente para gerenciar um servidor https://my-vm-213.goofy.localou qualquer que seja o caso. E se estamos lidando com hosts que vão subir e descer e se mover para os lados em grande número, não faz sentido gastar um momento adicionando CAs raiz que são estúpidos de adicionar e não terão uma razão para existir dentro horas.
Minha pergunta é a seguinte: existe uma maneira de "sempre passar" nas verificações de SSL:
- No nível do sistema operacional Windows? (o mesmo subsistema que é administrado pela
CertificatesmmcGUI ecertutiletc. - No nível do navegador? - para qualquer navegador principal, especialmente
Internet Explorer - No nível mais baixo possível em sistemas do tipo Unix? (presumo que seja,
OpenSSLmas realmente não sei)
Para mim isso seria algo como:
( X ) Always validate SSL certificates (DANGEROUS!)
Mais racionalização abaixo
Se você sabe que está trabalhando em um ambiente de laboratório, em um ambiente recém-provisionado ou em um ambiente de pequena empresa, estritamente em questões relacionadas a sistemas, não há benefício em termos de confidencialidade ou integridade (ou consciência da falta delas) quando vocêsempresuprima os avisos SSL porque você já sabe que eles aparecerão. Suponho que você poderia argumentar: "bem, e se alguém souber que você é tão negligente quanto a isso e explorar isso visando especificamente os tipos de hosts que você deseja suprimir", mas esse argumento só é válido se a) houver algum meio óbvio de explorar seus testes de compatibilidade do navegador IE8 para um aplicativo de intranet, b) você configurou incorretamente a rede de sua máquina virtual e realmente permitiu que ela transmitisse ou recebesse pacotes através de seu gateway e outros motivos, mas o mais importante,c) você já fez alguma coisadiferentementecomo resultado desse aviso enquanto trabalhava em um host que você sabe que produzirá esse aviso.
Responder1
Se você precisar de segurança, use SSL e use-o corretamente. Se você não precisa de segurança, não use SSL.
O uso inadequado de SSL prejudica mais a segurança, a usabilidade e a disponibilidade do que não utilizá-lo.
Os navegadores atuais finalmente reforçaram a segurança e esta é a evolução normal.
Responder2
Não existe um lugar central.
Para o Internet Explorer, você poderá hackear algumas DLL e substituir a funcionalidade existente. E pode ser necessário fazer isso para cada versão do Windows que estiver usando e mantê-lo atualizado após as atualizações do sistema operacional. O Chrome e o Firefox têm suas próprias pilhas SSL (NSS) que você precisa alterar. A situação é semelhante no Mac OS X, onde o Safari usa uma pilha TLS e o Chrome e o Firefox usam suas próprias pilhas TLS (novamente NSS). E no sistema UNIX você precisa lidar principalmente com Firefox e Chrome, que atualmente usam novamente a pilha NSS.
Os esforços necessários para hackear todos esses locais são provavelmente maiores do que o esforço necessário para adicionar a CA personalizada que você usa para seus sites de teste.
Responder3
Talvez seja melhor adicionar um proxy transparente que remova o SSL ou crie certificados correspondentes instantaneamente como um ataque no estilo MITM. Dessa forma, é necessária apenas uma CA privada. Isso deve ser fácil ao usar qualquer sistema de provisionamento.