Je suis tombé sur un site Web aléatoire Moodoo.cz . La chose intéressante est que si vous y accédez via HTTPS: Moodoo.cz , le contenu change complètement. Ce n'est pas si inhabituel - je suppose que le serveur peut servir différents contenus pour différents protocoles.
Mais j'ai trouvé des dizaines de ces sites Web qui ont le même contenu (Forum Peugeot 205 Club) a servi sur leur protocole HTTPS, dont beaucoup sont des entreprises valides. Je suis fermement convaincu que la plupart de ces sites Web ne savent pas que cela se produit et qu'il s'agit simplement d'une faille de sécurité mal utilisée.
Pouvez-vous expliquer (ou au moins faire quelques questions éclairées) quel problème de sécurité ces sites Web partagent? Que vérifier pour éviter que cela n'arrive à mon site Web?
Vous trouverez ci-dessous un sous-ensemble de sites Web présentant actuellement le problème décrit. Naturellement, certains d'entre eux régleront le problème à l'avenir. Vous pouvez également être invité à ajouter un exception de sécurité temporaire pour afficher le contenu.
www.artatak.cz
[HTTP][HTTPS]www.autodilykoci.cz
[HTTP][HTTPS]www.blackdogs.cz
[HTTP][HTTPS]www.cairns-esc.com.au
[HTTP][HTTPS]www.czechmusic.org
[HTTP][HTTPS]www.designconcept.cz
[HTTP][HTTPS]www.hanes.cz
[HTTP][HTTPS]www.kopprea.cz
[HTTP][HTTPS]www.moodoo.cz
[HTTP][HTTPS]www.mujdummujhrad.cz
[HTTP][HTTPS]www.pribehy.info
[HTTP][HTTPS]www.resultscoaches.cz
[HTTP][HTTPS]www.spalicek.eu
[HTTP][HTTPS]www.spectris-dot.com
[HTTP][HTTPS]www.statspol.cz
[HTTP][HTTPS]www.tonej.cz
[HTTP][HTTPS]www.tuze.cz
[HTTP][HTTPS]Il s'agit probablement d'une mauvaise configuration du serveur, car tous ces sites Web sont servis depuis 95.173.215.72
.
Lors de l'ouverture d'un des sites Web via HTTPS, mon navigateur m'avertit que le nom commun du certificat, qui doit correspondre au domaine du site Web, n'est pas valide.
Je suppose que ces sites Web ne sont pas censés être accessibles via HTTPS, car Apache n'est pas configuré pour fournir le bon certificat et semble charger le site Web par défaut (forum.205gti.org
).
Pour autant que je sache, ce n'est pas une vulnérabilité de sécurité.
Vous pouvez également être invité à ajouter une exception de sécurité temporaire pour afficher le contenu.
Il s'agit d'un problème typique lorsque plusieurs sites partagent la même adresse IP et certains d'entre eux ont activé HTTPS et d'autres pas. Dans ce cas, souvent, un certificat et un site par défaut seront servis lorsque le sujet des certificats ne correspond pas au domaine dans l'URL - et cela entraîne un échec de validation du certificat qui conduit à l'avertissement que vous voyez.
Étant donné que les utilisateurs ne sont pas censés simplement cliquer sur ces avertissements cela signifie simplement que le site est effectivement (c'est-à-dire pour les utilisateurs qui ne sautent pas les avertissements) non disponible par HTTPS. Mais le simple fait de ne pas être accessible par HTTPS n'est pas un problème de sécurité en soi. En d'autres termes: je ne vois pas de problème de sécurité ici. Et vous prétendez également qu'il y a un problème de sécurité, mais n'expliquez pas vraiment de quoi il s'agit exactement. Notez que d'autres moyens permettent de gérer une situation où certains sites sur la même adresse IP ont le HTTPS activé et d'autres pas. Au lieu de desservir un site par défaut, certaines configurations ne servent simplement à rien, c'est-à-dire à une erreur de connexion. Mais essentiellement les deux cas signifient qu'il n'y aura aucun contenu servi par l'utilisateur.
Mais je vois un problème différent: vous supposez qu'il est juste d'ignorer les avertissements explicites du navigateur et de continuer à accéder au site. Si vous avez cet état d'esprit, il est facile de monter un homme au milieu de l'attaque contre vous car vous cliquerez simplement sur les mêmes avertissements explicites que vous obtenez du navigateur lorsque vous visitez un site tout en étant attaqué. Et être vulnérable à l'homme au milieu des attaques en raison de l'ignorance de ces avertissements est le véritable problème de sécurité ici.
La clarification de certaines questions peut ou non s'avérer répondre aux questions immédiates du PO:
Vous devez signaler ce problème à l'administrateur du serveur.
Il semble que ce site héberge plusieurs sites avec la même adresse IP.
Historiquement, vous ne pouviez avoir qu'un seul site (en l'occurrence le club Peugeot) utilisant HTTPS par adresse IP, ce qui est probablement la raison pour laquelle ce site a été configuré de la sorte.
Cela s'est produit parce que la négociation SSL/TLS s'est produite avant que le client n'envoie au serveur l'en-tête "Host" qui définit le site auquel il tente d'accéder. Étant donné que le serveur ne savait pas à quel site était accédé, il utiliserait toujours le même certificat pour toutes les demandes.
De nos jours, il existe une extension du protocole TLS appelée Server Name Indication qui permet au client de spécifier l'hôte auquel il essaie d'accéder.
Malheureusement, il a fallu beaucoup de temps aux clients Web et même aux serveurs pour implémenter SNI, vous voyez donc toujours des configurations de sites comme celle-ci dans la nature.