web-dev-qa-db-ja.com

FirefoxによるSSL接続でこれらの警告はどういう意味ですか(のみ)

安全なサイトに接続していますが、FirefoxがIDについて言及しています。

Owner: This website does not supply ownership information

Verified by: Not specified

Technical Details:  
Connection Partially encrypted      
Parts of the page you are viewing were not encrypted before transmitted over the internet  

これらの警告はどういう意味ですか? IEでは表示されません。
そして、その接続は、URLバーやその他の表示では信頼できないと見なされていないようです。証明書は信頼できるCAによって署名されているため、Non Specified警告でVerified byは何を参照していますか?

また、ページのどの部分が暗号化されずに送信されたかを知るにはどうすればよいですか?

7
Jim

警告1:Owner: This website does not supply ownership information

つまり、SSL証明書はそれを所有する組織を指定しません。これは証明書を実際のエンティティに結び付けるため、特に拡張検証証明書(EV)で重要な詳細になる場合があります。

警告2:Verified by: Not specified

これは本当に重要な問題です。証明書は、署名した認証局(CA)を指定しません。これは、自己署名であることを意味している可能性があるため、パッシブな攻撃者に対するセキュリティについては、接続のみに依存できます。アクティブな攻撃者、つまり中間者攻撃を実行する攻撃者は、自分の証明書を生成し、サーバーになりすます可能性があります。

警告3:Connection Partially encrypted - Parts of the page you are viewing were not encrypted before transmitted over the internet.

つまり、表示しているページの要素はSSL経由で転送されません。これは、画像、スクリプト、またはCSSファイルを意味することもあります。ここでの問題は、一部のトラフィックがクリアテキストで送信され、表示しているページやCookieなどのより重要な詳細が明らかになる可能性があることです。



要約すると、これは非常に安全性の低いSSL設定です。個人の詳細や潜在的な機密情報を入力するためにこれを使用しないでください。

9
Polynomial

所有者:このウェブサイトは所有権情報を提供していません

これはEV証明書に使用されます。この場合、FirefoxはサブジェクトDNのO、L、ST、およびC RDNのコンテンツをコピーするだけです。それ以外の場合は行いません。

EV証明書のトピックの詳細については、たとえば this answer を参照してください。 https://www.google.com/にはこれがなく、同じメッセージが表示されます。

検証者:指定なし

これは、発行者DNのO RDNを使用しているようです。それがないことは必ずしも大したことではありません。そのCAを信頼することを選択したとき(または誰か他の人が決定したとき)、そのCAがどこから来たのかを知っているはずです。 CA証明書のサブジェクトDN(発行者DNになる)には必須の構造はありません(ただし、EV証明書の方がより厳密です)。重要なのは、CAを十分に識別するDNを用意することです。CNまたはO RDNが存在するかどうかはそれほど重要ではありませんが、(管理の観点から)それらを使用することをお勧めします。

これらのメッセージは意図的に書かれていますが、残念ながら混乱を招く傾向があります。これはまだ多くのFirefox Bugzilla問題における議論の対象です。ここにカップルがあります:

技術的な詳細:

部分的に暗号化された接続

閲覧しているページの一部は、インターネット経由で送信される前に暗号化されていません

これは問題です。ページにコンテンツが混在していることを意味します。これは、何が可能で何が不可能であるかわからないため、悪い習慣です。サーバーから送信されたものとして信頼されます(それ以外の場合はSSL/TLSによって保証されます)。画像、スクリプト、iframeを読み込んでいるか、プレーンなHTTPを介してXHRリクエストを行っている可能性があります。場合によっては、この方法で機密データが漏洩する可能性があります。

Firebug拡張機能([ネットワーク]タブ)を使用して、ページ上のプレーンHTTPを介して読み込まれるリソースを確認できます。 Chromeは、その開発者ツールに類似したものを持っています。

5
Bruno