我理解為什麼需要 SSL 警告,以及為什麼應該防止用戶(即使是有經驗的用戶)輕易忽略它們。我還了解到,一般來說,當您在日常工作站上進行銀行業務、交易或發送電子郵件時,「白名單」或受信任的不可信根 CA 方法是最佳方法。
也就是說,如果我Internet Explorer 8在無法存取互聯網的新配置的測試盒上使用,那麼我必須不斷單擊一兩個按鈕來管理伺服器或https://my-vm-213.goofy.local任何情況,這對我來說沒有任何意義。如果我們要處理大量上下左右移動的主機,那麼我花點時間添加根 CA 是沒有意義的,因為添加這些根 CA 很愚蠢,而且沒有理由存在於其中小時。
我的問題是:有沒有辦法「始終通過」SSL 檢查:
- 在 Windows 作業系統層級? (由
CertificatesmmcGUIcertutil等管理的同一子系統 - 在瀏覽器層級? - 對於任何主流瀏覽器,尤其是
Internet Explorer - 在類 Unix 系統上處於盡可能最低的等級? (我認為這是
OpenSSL但我真的不知道)
對我來說這會是這樣的:
( X ) Always validate SSL certificates (DANGEROUS!)
下面更合理化
如果您知道您正在實驗室環境或新配置的環境或小型企業環境中工作,那麼嚴格來說,在與系統相關的問題上,當您總是抑制 SSL 警告,因為您已經知道它們將會出現。我想你可能會爭辯說,「好吧,如果有人知道你對此如此鬆懈,並通過專門針對你想要壓制的那些主機來利用它,該怎麼辦?」但這個論點只有在以下情況下才成立:a)有任何明顯的手段利用您對Intranet 應用程式的IE8 瀏覽器相容性測試,b) 您錯誤配置了虛擬機器網路並實際上允許其透過其網關傳輸或接收資料包,以及其他原因,但最重要的是,c) 你曾經做過任何事不同地由於在您知道會產生該警告的主機上工作時出現該警告。
答案1
如果您需要安全性,請使用 SSL,並正確使用它。如果您不需要安全性,請不要使用 SSL。
不當使用 SSL 比根本不使用 SSL 會損害更多的安全性、可用性和可用性。
現在的瀏覽器終於加強了安全性,這是正常的演進。
答案2
沒有中心位置。
對於 Internet Explorer,您可能能夠破解某些 DLL 並取代現有功能。您可能需要為您正在使用的每個版本的 Windows 執行此操作,並在作業系統更新後保持最新狀態。 hrome 和 Firefox 有自己的 SSL 堆疊 (NSS),您需要對其進行更改。 Mac OS X 上的情況類似,Safari 使用一個 TLS 堆疊,而 Chrome 和 Firefox 使用自己的 TLS 堆疊(同樣是 NSS)。在 UNIX 系統上,您主要需要使用 Firefox 和 Chrome,它們目前再次使用 NSS 堆疊。
破解所有這些地方所需的工作量可能比新增用於測試網站的自訂 CA 所需的工作量還要多。
答案3
您最好添加一個透明代理來剝離 SSL,或動態建立匹配的憑證作為 MITM 類型的攻擊。這樣,只需要一個私有 CA。使用任何配置系統時這應該很容易。