我明白为什么需要SSL警告,以及为什么用户,即使是经验丰富的用户,应该防止轻易忽视它们。 我也明白,一般来说,在您的日常工作站上工作时,“白名单”或值得信赖的不可信的根CA方法是最好的方法,您也可以通过银行或交易或通过电子邮件发送信息。
也就是说,如果我在一个没有访问互联网的全新configuration的testing盒上使用Internet Explorer 8 ,我不需要经常点击一个或两个button来pipe理服务器, https://my-vm-213.goofy.local或任何情况下可能。 如果我们正在处理那些要大量上下左右的主机,那么我花费一点时间来添加根本的CA,这是愚蠢的,并且没有理由在其中存在小时。
我的问题是:有没有办法“永远通过”SSL检查:
Certificates mmc GUI和certutil等pipe理的同一个子系统 Internet Explorer OpenSSL但我不知道) 对我来说,这将是这样的:
( X ) Always validate SSL certificates (DANGEROUS!)
下面更合理化
如果您知道您在实验室环境或新开通的环境或小型企业环境中工作,严格遵守与系统有关的事项,那么当您始终抑制保密性或完整性(或者意识到缺乏)时, SSL警告,因为你已经知道他们将出现。 我想你可能会争辩说:“好吧,如果有人知道你对此非常松懈,并通过专门针对那些你想压制的东道主来利用它,那么这个论点只有在下列情况下才有效:a)有明显的手段利用IE8浏览器兼容性testingIntranet应用程序,b)虚拟机networkingconfiguration错误,实际上允许它通过网关发送或接收数据包等等,但最重要的是, c)你曾经做过任何事情因为这个警告的结果不同 ,你知道会发出警告 。
如果您需要安全性,请使用SSL,并正确使用它。 如果您不需要安全性,则不要使用SSL。
不恰当地使用SSL会损害更多的安全性,可用性和可用性。
目前的浏览器终于加强了安全性,这是正常的演变。
没有中央的地方。
对于Internet Explorer,您可能会破解一些DLL并replace现有的function。 而且您可能需要为每个正在使用的Windows版本执行此操作,并在操作系统更新后保持最新状态。 hrome和Firefox都有自己的SSL堆栈(NSS),你需要改变它。 在Mac OS X上,Safari正在使用一个TLS堆栈,而Chrome和Firefox使用自己的TLS堆栈(又是NSS)。 在UNIX系统上,你大多不得不处理Firefox和Chrome,目前它们又一次使用NSS栈。
攻克所有这些地方所需的努力可能比添加用于testing站点的自定义CA所需的努力要多得多。
添加一个剥离SSL的透明代理或者创build匹配的证书作为MITM风格的攻击可能会更好。 这样,只需要一个专用的CA. 使用任何configuration系统时,这应该很容易。