web-dev-qa-db-fra.com

Icône HTTPS rouge et barrée - Chrome

Qu'est-ce que cela signifie réellement lorsque l'icône HTTPS est rouge et barrée dans Chrome?

Est-ce à dire que le site est vulnérable à un homme au milieu de l'attaque? Est-ce sûr ou non?

tlsweb-browserchrome
14
Michal Koczwara

Lorsque la partie https de l'URL dans Chrome a une ligne rouge à travers elle, il y a un problème avec la sécurité du site que vous allez visiter. Pour voir exactement quel est le problème, vous avez besoin pour cliquer sur le cadenas et voir les informations de connexion détaillées.

Les informations de connexion détaillées sont documentées ici .

Si tu vois green padlock, vous avez alors établi une connexion sécurisée avec un site de confiance et n'avez pas à vous soucier des attaques MITM.

Si tu vois yellow bang, la connexion n'est pas chiffrée et est sujette aux attaques MITM.

Si tu vois grey padlock ou red padlock, alors soit la connexion n'est que partiellement chiffrée, soit elle est chiffrée avec une partie non fiable (par exemple, un certificat auto-signé, une incompatibilité de nom ou un imposteur). Dans ces cas, vous pouvez faire l'objet d'une attaque MITM.

Avec ces deux derniers, le niveau d'exposition varie. Il se peut que le site distant soit correctement chiffré, mais qu'il se trouve que quelques balises "IMG SRC = http: // ..." provoquent un contenu mixte. Ce "contenu mixte" peut être détecté sur le réseau. Ou, il se peut que vous soyez allé sur un site imposteur "gooogle.com" au lieu de "google.com", et que tout ce que vous envoyez soit crypté mais envoyé à un attaquant malveillant. Ou n'importe où entre les deux. La règle de base est, essentiellement, à moins que vous ne compreniez pourquoi elle est rouge, vous ne devriez pas lui faire confiance.

12
gowenfawr

Un https barré pourrait signifier que le certificat utilise la sécurité datée "SHA-1" qui n'est pas aussi sécurisée qu'elle l'était lors de son introduction il y a 20 ans. Chrome nous dit simplement que. IE et Firefox ne signalent pas encore les sites qui utilisent "SHA-1" mais le feront bientôt. Pour vérifier que c'est le problème) , Je vous suggère d'ouvrir le site Web dans l'un des autres navigateurs pour voir s'ils indiquent une connexion https. Sinon, le certificat des sites Web peut être autre chose que le problème "SHA-1".

2
HomePC

Vous faites référence au moment où les navigateurs Web tracent une ligne rouge à travers le "https: //" dans leurs barres d'URL.

Cela signifie que le navigateur ne fait pas confiance au certificat que le site utilise, pour de nombreuses raisons possibles:

  • il n'est pas signé par l'un des certificats d'autorité de certification racine que le navigateur approuve implicitement
  • il est signé par un certificat d'autorité de certification racine auquel le navigateur faisait confiance, mais il ne l'est plus parce que l'autorité de certification s'est avérée être un voyou
  • le certificat a expiré
  • le certificat a été révoqué par son créateur
  • le certificat indique qu'il s'agit d'un autre site, pas du site que vous consultez

... mais vous avez néanmoins demandé qu'une exception de sécurité soit faite et que vous soyez autorisé à voir le site de toute façon.

Vous et votre navigateur êtes vulnérables à une attaque MitM, mais n'oubliez pas que chaque site dans le monde qui commence par "http: //" plutôt que "https: //" est également vulnérable à une attaque MitM, et il n'y aura aucun avertissement ni drapeau rouge à ce sujet.

Si vous voyez le "https" marqué dans votre navigateur, alors vous avez à peu près le même niveau de sécurité qu'un site Web "http" normal, vous ne devriez donc l'utiliser que si vous êtes satisfait sans aucune garantie de confidentialité o authenticité.

0
Stuart Caie