ufo*_*tds 4 firefox https truecrypt
在像truecrypt.org这样的域上,您无法通过 https 看到实际的网站,但是当您下载他们文件的签名或 pgp 密钥时,他们会通过 https 将其发送给您。然而,在这种情况下,firefox 似乎并没有让我有机会查看证书。
什么是查看证书的实用方法,最好无需安装额外的工具...
我能够使用curl获取此信息,可用于 Windows/Linux/Unix/MacOS 等:
curl -v https://www.truecrypt.org
* SSL 连接使用 TLS_DHE_RSA_WITH_AES_256_CBC_SHA * 服务器证书: * 主题:CN=www.truecrypt.org,OU=域控制验证,O=www.truecrypt.org * 开始日期:格林威治标准时间 2009 年 4 月 10 日 12:41:56 * 到期日期:格林威治标准时间 2012 年 4 月 10 日 12:41:56 * 通用名称:www.truecrypt.org * 发行人:serialNumber=07969287,CN=Go Daddy Secure Certification 权限,OU=http://certificates.godaddy.com/repository,O="GoDaddy.com, Inc.",L=斯科茨代尔,ST=亚利桑那州,C=美国
(为简洁起见,大多数输出被切断)
我认为这个问题(使用标准浏览器工具无法看到)是 truecrtypt 网站的严重安全问题。
SSL 有两个目的:加密和身份验证。在这种特定情况下,加密根本不重要,身份验证非常重要。和他们:
使用最低级别的证书,这实际上只是证明可以访问 admin@truecrypt.org 或类似地址的人购买了该证书。
不会让用户轻易看到证书,因此验证证书对大多数用户来说是有问题的。
例如,如果您想使用 Firefox 查看证书,则需要关闭重定向。
https://www.truecrypt.org站点执行 301(永久)重定向到http://www.truecrypt.org。
浏览器/代理似乎非常重视这一点,并且会缓存 301,以便任何后续访问都会直接访问重定向的地址。
在火狐浏览器中你可以这样做
现在,如果您完成所有这些操作,然后转到https://www.truecrypt.org,它应该保留在那里,并显示要重定向的警告。但随后您可以以正常方式查看证书。
| 归档时间: |
|
| 查看次数: |
7015 次 |
| 最近记录: |