Назад | Перейти на главную страницу

Есть ли способ полностью подавить предупреждения, связанные с SSL, на уровне ОС в Windows или на уровне браузера для любого основного браузера?

Я понимаю, зачем нужны предупреждения SSL и почему пользователи, даже опытные, не должны игнорировать их. Я также понимаю, что в целом подход «белого списка» или доверенного ненадежного корневого центра сертификации является лучшим подходом при работе на повседневной рабочей станции, на которой вы также занимаетесь банковскими операциями, торговлей или электронной почтой.

Тем не менее, если я использую Internet Explorer 8 на недавно подготовленном тестовом блоке, у которого нет доступа к Интернету, для меня нецелесообразно постоянно нажимать одну или две кнопки для управления сервером на https://my-vm-213.goofy.local или как бы то ни было. И если мы имеем дело с хостами, которые будут перемещаться вверх, вниз и в сторону в большом количестве, для меня нет смысла тратить время на добавление корневых центров сертификации, которые глупо добавлять и у которых не будет причин для существования внутри часов.

У меня такой вопрос: есть ли способ «всегда проходить» проверки SSL:

  1. На уровне ОС Windows? (та же подсистема, которую администрирует Certificates mmc GUI и certutil и т.п.
  2. На уровне браузера? - для любого крупного браузера, особенно Internet Explorer
  3. На самом низком возможном уровне в Unix-подобных системах? (Я предполагаю, что это OpenSSL но я действительно не знаю)

Для меня это было бы примерно так:

( X ) Always validate SSL certificates (DANGEROUS!)

Более рациональное объяснение ниже

Если вы знаете, что работаете в лабораторной среде, или в новой среде, или в среде малого бизнеса, строго по вопросам, связанным с системами, нет никаких преимуществ с точки зрения конфиденциальности или целостности (или осознания их отсутствия), когда вы всегда подавить предупреждения SSL, потому что вы уже знаете, что они появятся. Я полагаю, вы могли бы возразить: «А что, если кто-то знает, что вы так небрежно относитесь к этому, и использует это, специально нацеливаясь на те типы хостов, которые вы хотите подавить», но этот аргумент справедлив только в том случае, если а) есть какие-либо очевидные средства использования вашего тестирования совместимости браузера IE8 для приложения Intranet; б) вы неправильно настроили сеть виртуальной машины и фактически разрешили ей передавать или получать пакеты через свой шлюз и по другим причинам, но, что наиболее важно, в) ты когда-либо делал что-нибудь по-другому в результате этого предупреждения во время работы на хосте вы знаете, что это предупреждение.

Если вам нужна безопасность, используйте SSL и используйте его правильно. Если вам не нужна безопасность, не используйте SSL.

Неправильное использование SSL вредит безопасности, удобству использования и доступности больше, чем его полное отсутствие.

Текущие браузеры наконец-то повысили безопасность, и это нормальное развитие.

Центрального места нет.

Для Internet Explorer вы можете взломать некоторую DLL и заменить существующие функции. И вам может потребоваться сделать это для каждой версии Windows, которую вы используете, и поддерживать ее в актуальном состоянии после обновлений ОС. hrome и Firefox имеют свои собственные стеки SSL (NSS), которые вам необходимо изменить. Ситуация аналогична Mac OS X, где Safari использует один стек TLS, а Chrome и Firefox используют свои собственные стеки TLS (снова NSS). А в системе UNIX вам в основном приходится иметь дело с Firefox и Chrome, которые в настоящее время снова используют стек NSS.

Усилия, необходимые для взлома всех этих мест, вероятно, больше, чем усилия, необходимые для добавления настраиваемого ЦС, который вы используете для своих тестовых сайтов.

Возможно, вам лучше добавить прозрачный прокси, который удаляет SSL, или создает соответствующие сертификаты на лету в качестве атаки в стиле MITM. Таким образом, потребуется только один частный центр сертификации. Это должно быть легко при использовании любой системы подготовки.