Указывает ли добавление исключения сертификата в Firefox доверять сертификату, адресу или их комбинации?
Указывает ли добавление исключения сертификата в Firefox доверять сертификату, адресу или их комбинации? Смотрите следующее гипотетическое:
Во-первых, я гипотетически посещаю https://foo.com/, где используется самозаверяющий сертификат. Мой браузер предупреждает меня о том, что сертификат самоподписан, но я решил добавить исключение (в настройках Firefox 40 в разделе " Дополнительно"> "Сертификаты"> "Просмотр сертификатов"> "Серверы").
Теперь предположим, что я захожу на https://bar.com/, и там представлен точно такой же сертификат. Будет ли Firefox доверять этому сайту, потому что он использует доверенный сертификат, или он предупредит меня, потому что сертификат не является доверенным по этому адресу?
Теперь предположим, что я повторно посещаю https://foo.com/ через пару недель, и с тех пор они сгенерировали и начали использовать новый сертификат (CA тот же, но я не добавил CA в качестве доверенного корня). Будет ли Firefox показывать мне предупреждение, потому что сертификат не является доверенным? Или он будет доверять сайту, потому что это доверенный адрес?
Или есть другой угол к этому?
Спасибо
1 ответ
Если вы добавляете исключение, сертификат является доверенным только для этого сайта, то есть он создает исключение для пары (имя хоста, сертификат), а не только для сертификата.
То есть вы не можете создать сертификат для example.com, заставить пользователя доверять этому (то есть безопасному сайту, сделать исключение), а затем использовать тот же сертификат для атаки "человек посередине" на paypal.com только потому, что вы " мы добавили paypal.com в качестве альтернативного субъекта в свой самозаверяющий сертификат. Когда-то была ошибка, которая делала такие атаки возможными, но она давно исправлена.