这个网站:
https://zh-cn.add-ons.mozilla.com
拥有不受信任的证书。(至少使用我的浏览器:Iceweasel 24.2.0)我发现它非常可疑。但是我对这些证书还不够了解。
有人可以启发我吗?
编辑:澄清一下,这个问题是关于:这是否只发生在我身上,我可能是从中间人下载的插件,还是正常的,我是从受信任的站点下载了该插件?答案似乎是,可能还可以。Mozilla的证书中未包含该特定子域。(仍然很奇怪,但是...还可以)
不,在这种情况下,您无需担心。您的下载是从Mozilla基金会拥有的同一台服务器上进行的。不过,下次不要信任它!
你怎么能知道你今天很安全?使用Chrome时,您会得到:
您试图访问en-us.add-ons.mozilla.com,但实际上是到达了一个将其自身标识为addons.mozilla.org的服务器。
转到https://addons.mozilla.org时,您会看到它看起来相同。Web服务器可以响应具有相同内容的多个域。但是,当然,有人可以将外观复制到另一台服务器。幸运的是,在您的情况下,您可以告诉两个域(今天)使用IP地址为63.245.216.132的IPv4引用同一台服务器:
$ host addons.mozilla.org
addons.mozilla.org is an alias for addons.dynect.mozilla.net.
addons.dynect.mozilla.net has address 63.245.216.132
addons.dynect.mozilla.net has IPv6 address 2620:101:8020:5::2:132
$ host en-us.add-ons.mozilla.com
en-us.add-ons.mozilla.com is an alias
for addons-mozilla-org.mktns.services.phx1.mozilla.net.
addons-mozilla-org.mktns.services.phx1.mozilla.net has address 63.245.216.132
因此,尽管忽略了警告,但在这种情况下,还是从预期的服务器下载了。
证书都是基于信任的:您信任您的浏览器,浏览器信任一些“证书颁发机构”,然后这些证书将证书出售给网站所有者。为了获得更好的信任,证书颁发机构应要求提供一些证据,以证明域确实由买方拥有。(如果没有,那么,如果有人能够与DNS服务器 打交道,并且可以为他们并不真正拥有的域购买证书,那么他们可能会愚弄您的浏览器而没有任何警告地接受它。如果是Mozilla,它甚至是扩展验证证书,因此信任度很高。)
最重要的是:网站所有者知道他们应该非常安全地保护证书的秘密部分。没有这个秘密部分,另一个网站将无法使用他人的证书。因此,除非机密信息被泄露,或者除非两个网站仅具有相同的所有者甚至引用同一台服务器,否则en-us.add-ons.mozilla.com都不能显示证明其为“是”的证书addons.mozilla.org。
因此,除非以某种方式损害了DNS和证书的信任度:如果服务器告诉您的浏览器它被称为addons.mozilla.org,那么这是正确的。在您的情况下,您从中下载的服务器称为addons.mozilla.org,并且mozilla.org 由Mozilla Foundation拥有。
现在,Mozilla可能已经购买了一份证书,列出了对于该单个服务器都有效的两个域(使用所谓的“使用者替代名称”)。但是我想您只是使用了旧域名,而Mozilla希望每个人都使用新域名,因此也不必费心将旧域名也加入证书中。
所以下次?
即使没有警告,也请始终检查URL。例如,浏览器可能会接受证书,your-bank.something.com 而不会警告您。但是请注意,您实际上是在访问的子域something.com,而不是your-bank.com。
如果确实收到警告,请检查浏览器说证书有效的站点是否确实是您真正在寻找的站点。如果your-bank.com要使您的浏览器警告您该证书是针对的your-bank.something.com,则请确保您可以信任something.com。这可能表明DNS受到某种程度的破坏,并且您的浏览器连接到错误的服务器。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句