Мое приложение развернуто как самозаверяющий апплет для нескольких тысяч пользователей в более чем 50 школах по всей стране (в Норвегии). Пользователь получает стандартное предупреждение системы безопасности Java с вопросом, примет ли он подпись. Когда они это сделают, апплет работает отлично.
Однако около полугода назад группа из 7 школ, все подчиненные общему ИТ-отделу, перестали получать предупреждение о безопасности. Вместо этого апплет загружается и запускается в ненадежном режиме, без предварительного предоставления пользователю возможности принять или отклонить подпись.
Проблема возникает на машинах с Windows, и только тогда, когда машина подключена к школьной сети. Если они возьмут с собой одну и ту же машину, программа будет работать так, как должна, с предупреждениями безопасности и всем остальным.
Я мало знаю о оконных системах в целом, но я бы подумал, что это будет какой-то файл политики или что-то, что загружается, когда машина подключается к / через сеть школы.
Более того, проблема начала возникать в этих 7 школах только после изменений, внесенных после недавнего нарушения безопасности. ИТ-отдел в тупике. Я в тупике.
Есть мысли, комментарии, предложения?
Я не эксперт по безопасности браузера, но могу представить, что настройки безопасности браузера были изменены для обработки всех недоверенных сертификатов (самоподписанные сертификаты не подписываются доверенным центром сертификации (ЦС), поэтому могут исходить от кого угодно ) как небезопасное в результате нарушения безопасности.
Это согласуется с тем, что предупреждения не выдаются, и я могу только представить, что это означает, что самосертификат автоматически помечается как ненадежный, поэтому апплет работает только в ненадежном режиме.
Ваши пользователи пытались очистить сертификаты на своих машинах?
Панель управления / Java / Безопасность / Сертификат / Удалить?
Как сказал beny23, они могли ошибочно посчитать самоподписанный сертификат небезопасным ...
Но это не объясняет, почему система может работать из дома ...
Я предполагаю, что самоподписанные банки фильтруются веб-прокси.
На панели управления есть параметр «Разрешить пользователям предоставлять разрешения на контент из ненадежных источников». Кроме того, проверка OCSP изменила конфигурацию по умолчанию между обновлениями, хотя я предполагаю, что это, вероятно, не имеет значения для самоподписанных.
Я настоятельно рекомендую не принимать самоподписанные сертификаты.