HTTPS mais PAS crypté?
J'accède à Bing ( https://www.bing.com ) depuis la Chine. J'ai obtenu les informations suivantes:
Comment cela pourrait-il arriver? HTTPS mais pas crypté, et avec certificat SSL?
Voici la capture de paquets à l'aide de Wireshark . L'IP de Bing est 202.89.233.101.
Ce n'est pas seulement dans Edge, mais aussi IE et Chrome. La raison est maintenant claire: MS ne sert le contenu sur connexions non sécurisées, du moins en Chine. Comme l'indiquent les avertissements Mixed content en bas à droite de la capture d'écran ci-dessous, la page demande des images via HTTP, ce qui la rend non sécurisée:
Edit pour le pcap: ma théorie ne tient pas; les autres points sont toujours valables.
Je garderai ma réponse originale et spéculative, mais TL; DR: si les ressources sont chargées via http, un tel avertissement est justifié.
Au fur et à mesure des commentaires, cela semble être un avertissement concernant les ressources non https utilisées sur le site Web. Cela pourrait déclencher des avertissements de ce type et pour une bonne raison:
Si les scripts sont chargés de cette manière, un homme au milieu peut injecter des scripts qui compromettent chaque interaction avec un tel site Web (et plus encore, en cas d'exploit à la disposition de l'attaquant pour votre navigateur). De plus, même d'autres ressources pourraient conduire à l'exécution de code qui n'était pas destiné à être exécuté dans ce contexte.
Maintenant, ma réponse originale: Cela pourrait être un attaque de rétrogradation qui est autorisé par Microsoft.
Tout d'abord: TLS a deux objectifs différents:
- d'authentifier le serveur (et éventuellement le client) via une infrastructure à clé publique.
- pour évaluer les capacités de chiffrement que le serveur et le client partagent et choisissez l'un d'entre eux via une connexion non sécurisée.
Alors que le serveur a été authentifié, il semble que le serveur et vous ayez établi un "chiffrement" en texte brut.
Deuxièmement: cela peut être utile si le client (ou le serveur) a des capacités de calcul très limitées. Pour permettre l'accès (la disponibilité) à la confidentialité, cela peut être utile.
Troisièmement, ma spéculation: dans ce cas, il est possible que bing ne soit autorisé à fonctionner qu'en Chine tant que le grand pare-feu peut regarder à l'intérieur du trafic. Ainsi, Microsoft aurait pu choisir la disponibilité plutôt que la confidentialité, en utilisant l'option de texte brut pour permettre une inspection approfondie des paquets par le GFC.
Comment cela pourrait-il arriver? HTTPS mais pas crypté, et avec certificat SSL?
Il y a trois façons dont je peux penser que cela pourrait se produire.
Le serveur est délibérément configuré avec un protocole nul , ce qui est techniquement autorisé sous HTTPS, bien que fortement déconseillé .
Le serveur est configuré avec un protocole de cryptage approprié, mais présente une faiblesse qui permet à un pirate de lancer une attaque de rétrogradation . Une telle faiblesse a été trouvée il y a un an ou deux dans OpenSSL (voir cet article ) qui est une base de code très populaire sur laquelle de nombreux serveurs Web sont basés. Il y a d'autres attaques également .
Vous êtes dans un environnement réseau (qui peut être l'ensemble de la Chine) où les connexions à Bing sont interceptées et vous recevez un contenu avec un certificat qui n'est pas le certificat d'origine. Ce type de configuration est courant dans les environnements d'entreprise (voir cette question pour plus de détails). Cela nécessiterait que votre ordinateur portable contienne un certificat racine contrôlé par la partie qui effectue l'interception, par ex. une autorité de certification chinoise, qui pourrait alors émettre un certificat qui ressemble exactement à celui de Bing.
HTTPS "sécurisé" signifie une connexion cryptée entre le navigateur et le serveur Web. C'est ça. Cela garantit uniquement la sécurité des données circulant entre votre navigateur et le serveur Web. Il ne couvre pas tout le spectre de la sécurité.
Le site charge pratiquement du contenu mixte, certains contenus tels que les images et CSS seront chargés sur un canal non sécurisé tandis que le contenu du site principal est servi sécurisé via HTTPS. Par exemple, si l'un des contenus utilise "form action =" http "au lieu de" form action = "https", cela contribue à la possibilité que le site soit compromis. Dans votre cas spécifique, il y a en plus Adobe flash. Tant que vous avez du contenu flash, la sécurité est pratiquement morte de toute façon. Adobe Flash s'exécute à l'intérieur du même processus et de la même mémoire que le navigateur Web et les bogues fréquents donnent aux pirates de nombreuses opportunités faciles d'accéder à la mémoire. Ils peuvent ensuite accéder à une adresse mémoire spécifique et faire n'importe quoi à partir de là.
Quant au SSL, lorsque vous demandez une connexion HTTPS à un site Web, le site Web enverra initialement son certificat SSL à votre navigateur. Ce certificat contient la clé publique nécessaire pour démarrer la session sécurisée. Sur la base de cet échange initial, votre navigateur et le site Web lancent ensuite la "prise de contact SSL". La prise de contact SSL implique la génération de secrets partagés pour établir une connexion sécurisée unique entre vous et le site Web. Beaucoup de choses peuvent mal se passer ici et la connexion sécurisée ne se fait plus. Plusieurs fois, cela peut être dû à un navigateur compromis mais cela peut aussi être dû à des problèmes sur le site.