HTTPS経由で複数のサイトにアクセスすると、異なる、無関係なコンテンツが生成されます(HTTPS経由でプジョークラブ)
ランダムなWebサイト Moodoo.cz に遭遇しました。興味深いのは、HTTPS経由でアクセスする場合 Moodoo.cz の場合、コンテンツが完全に変更されることです。それは珍しいことではありません-サーバーはプロトコルごとに異なるコンテンツを提供できると思います。
しかし、数十のsameコンテンツを持つそのようなウェブサイトを見つけました(プジョー205クラブフォーラム)HTTPSプロトコルで提供され、その多くは有効なビジネスです。これらのWebサイトのほとんどは、このようなことが起こっていることを知らないこと、そしてそれは誤用されたセキュリティホールにすぎないと確信しています。
これらのWebサイトが共有するセキュリティの問題について説明できますか(または少なくとも教育を受けた質問をしてください)。これが私のウェブサイトに起こらないことを確認するために何をチェックするのですか?
以下は、現在説明されている問題が発生していることが判明したWebサイトのサブセットです。当然、それらのいくつかは将来的に問題を修正します。また、コンテンツを表示するために 一時的なセキュリティ例外 を追加するよう求められる場合があります。
www.artatak.cz[HTTP][HTTPS]www.autodilykoci.cz[HTTP][HTTPS]www.blackdogs.cz[HTTP][HTTPS]www.cairns-esc.com.au[HTTP][HTTPS]www.czechmusic.org[HTTP][HTTPS]www.designconcept.cz[HTTP][HTTPS]www.hanes.cz[HTTP][HTTPS]www.kopprea.cz[HTTP][HTTPS]www.moodoo.cz[HTTP][HTTPS]www.mujdummujhrad.cz[HTTP][HTTPS]www.pribehy.info[HTTP][HTTPS]www.resultscoaches.cz[HTTP][HTTPS]www.spalicek.eu[HTTP][HTTPS]www.spectris-dot.com[HTTP][HTTPS]www.statspol.cz[HTTP][HTTPS]www.tonej.cz[HTTP][HTTPS]www.tuze.cz[HTTP][HTTPS]
これらのWebサイトはすべて95.173.215.72。
HTTPS経由でいずれかのWebサイトを開くと、ブラウザーから、Webサイトのドメインと一致する必要がある証明書の共通名が無効であるという警告が表示されます。
Apacheは正しい証明書を配信するように設定されておらず、デフォルトのウェブサイト(forum.205gti.org)。
私の知る限り、これはセキュリティの脆弱性ではありません。
また、コンテンツを表示するために一時的なセキュリティ例外を追加するよう求められる場合もあります。
これは、複数のサイトが同じIPアドレスを共有していて、HTTPSが有効になっているサイトとそうでないサイトがある場合の典型的な問題です。この場合、証明書のサブジェクトがURLのドメインと一致しない場合、デフォルトの証明書とサイトが提供されることがよくあります。これにより、証明書の検証が失敗し、警告が表示されます。
その場合ユーザーはこのような警告をクリックするだけではないこれは、サイトが事実上(つまり、警告をスキップしないユーザーの場合)HTTPSでアクセスできないことを意味します。ただし、HTTPSでアクセスできないだけでは、それ自体はセキュリティの問題ではありません。つまり、ここではセキュリティの問題を確認できません。また、セキュリティの問題があると主張するだけで、それが何であるかを実際に説明しないでください。同じIPアドレスの一部のサイトでHTTPSが有効になっているサイトと有効になっていないサイトを処理する別の方法があることに注意してください。一部のデフォルトサイトにサービスを提供する代わりに、一部のセットアップでは何も提供しない、つまり接続エラーが発生します。しかし、基本的にはどちらの場合も、ユーザーが提供するコンテンツがないことを意味します。
しかし、別の問題が発生しています。ブラウザの明示的な警告を無視してサイトにアクセスし続けても問題ないと思います。この考え方を持っている場合は、攻撃されているサイトにアクセスしたときにブラウザから表示されるのと同じ明示的な警告をクリックするだけなので、攻撃者を攻撃するのは簡単です。そしてそのような警告を無視するために中間者攻撃に対して脆弱であることは、ここでの本当のセキュリティ問題です。
いくつかの質問を整理します。OPの即時の質問に答えることを証明する場合としない場合があります。
- 複数のドメインのSSL証明書を取得できます。
- 単一のIPのSSL証明書を取得できます。
- https://www.hanes.cz でスローされるエラーは十分に説明的です。サーバーがforum.205gti.orgのSSL証明書を使用しようとしているため、サーバーが正しく構成されていません。これが修正されるまで、接続は安全ではありません。
この問題をサーバー管理者に報告する必要があります。
このサイトは同じIPアドレスを持つ複数のサイトをホストしているようです。
歴史的には、IPアドレスごとにHTTPSを使用して1つのサイト(この場合はプジョークラブ)しか持つことができませんでした。これが、このサイトがこのように構成されている理由です。
これは、クライアントがサーバーに、アクセスしようとしているサイトを定義する「Host」ヘッダーを送信する前にSSL/TLSハンドシェイクが発生したために発生しました。サーバーはアクセスされているサイトを認識していなかったため、すべての要求に対して常に同じ証明書を使用していました。
現在、TLSプロトコルには サーバー名表示 と呼ばれる拡張機能があり、クライアントはアクセスしようとしているホストを指定できます。
残念ながら、WebクライアントやサーバーでさえSNIを実装するのに非常に長い時間がかかったため、このようなサイト構成がまだ実際に見られます。