Как мне получить сертификат https на веб-сайте, который не будет предоставлять свои действительные веб-страницы по протоколу https, а только файлы, которые не отображаются в лбу?

Question

На домене, подобном truecrypt.org, вы не можете видеть реальный веб-сайт через https, но когда вы загружаете подписи их файлов или их ключ pgp, они отправят его вам через https. Однако Firefox, похоже, не дает мне возможности посмотреть сертификат в этой ситуации.

Какой практический способ посмотреть на сертификат, желательно без установки дополнительных инструментов ...

Answer 1

Я смог получить эту информацию, используя curl, доступный для Windows/Linux/Unix/MacOS и т.д .:

curl -v https://www.truecrypt.org

* SSL connection using TLS_DHE_RSA_WITH_AES_256_CBC_SHA
* Server certificate:
*       subject: CN=www.truecrypt.org,OU=Domain Control Validated,O=www.truecrypt.org
*       start date: Apr 10 12:41:56 2009 GMT
*       expire date: Apr 10 12:41:56 2012 GMT
*       common name: www.truecrypt.org
*       issuer: serialNumber=07969287,CN=Go Daddy Secure Certification 
Authority,OU=http://certificates.godaddy.com/repository,O="GoDaddy.com, 
Inc.",L=Scottsdale,ST=Arizona,C=US

(большинство выходных данных вырезано для краткости)

Я считаю эту проблему (что вы не можете увидеть это с помощью стандартных инструментов браузера) серьезной проблемой безопасности для веб-сайта truecrtypt.

SSL служит двум целям: шифрование и аутентификация. В этом конкретном случае шифрование вообще не важно, а аутентификация очень важна. И они:

1. Используйте сертификат самого низкого уровня, который действительно доказывает, что тот, кто имеет доступ к admin@truecrypt.org или подобному адресу, купил этот сертификат.

2. Не позволит пользователю легко увидеть сертификат, поэтому проверка сертификата проблематична для большинства пользователей.

Answer 2

Если вы хотите увидеть сертификат с помощью Firefox, например, вам нужно отключить перенаправление.

Сайт https://www.truecrypt.org выполняет перенаправление 301 (постоянное) на http://www.truecrypt.org.

Браузеры / прокси-серверы, похоже, относятся к этому очень серьезно и кешируют 301, так что любые последующие посещения будут идти прямо на перенаправленный адрес.

В Firefox вы можете сделать

1. Очистить кэш
2. Отключите кеш в about:config, установите для browser.cache.memory.enable и browser.cache.disk.enable значение false
3. Перейдите в Параметры / Дополнительно / Общие и установите флажок Предупреждать при перенаправлении

Теперь, если вы сделаете все это, и затем перейдете на https://www.truecrypt.org, он должен остаться там с предупреждением о том, что он хочет перенаправить. Но тогда вы можете посмотреть сертификат обычным способом.