SSL証明書が無効な場合の真の危険レベルはどれくらいですか?
私は比較的技術に精通していますが、セキュリティの専門家ではありません。私の理解では、無効なSSL証明書は、悪用される可能性のある何らかの情報をWebサイトに提供しようとしていて、現在のWebサイトが本当に所有していると思われる組織によって所有されているかどうかわからない場合にのみ問題になります。あります。
私の職場では、すべてのSSL証明書を無効にするコンテンツフィルタリングを使用しているため、質問します。ブラウザは、Webサイトが提供されている実際のサーバーではなく、ネットワーク上のコンテンツフィルタリングサーバーから発信されたものとしてWebサイトを認識します。煩わしさを生み出す以外に何もしていないので、ブラウザ(Firefox)で証明書のチェックを完全にオフにしたくなりますが、私が見逃している可能性のある問題のいくつかの側面があるかどうかを確認したいと思いましたか?私は、アクセスしているWebサイトが、証明書の確認なしにアクセスしていると思うWebサイトであることを確認するのに十分賢いので、私の理解に基づいて、問題はないはずです。
基本的にこの種のプロキシでは、プロキシ経由で暗号化されていないコピーがあるため、雇用主はSSL経由で銀行情報などを見ることができます。あなたのコンピュータがプロキシサーバーからウェブページを要求していて、次にあなたの雇用主のプロキシサーバーがあなたに代わって宛先からページを要求しています、そしてプロキシソフトウェアはそれが真ん中にあるので暗号化されていないコピーを受け取ります。したがって、プロキシは、表示されるすべてのWebページのコンテンツを表示できます。 SSLが安全である唯一の方法は、PCと宛先PCがSSLを介して直接通信する場合です。
あなたのブラウザはあなたの情報が安全でないことをあなたに正しく警告しています。 3つのポイント間の接続はまだ暗号化を使用していると思うので、全世界がそれを見ることができません-あなたの雇用者だけです。
SSLが正しくオンになっている場合でも、雇用主はアクセス先のURLを(ブラウザーのアドレスバーに)表示できることに注意してください。グーグルのようなほとんどの検索エンジンは、URLに多くの情報(検索した単語など)を配置します。
主な問題であるIMHOは、ブラウザ(またはクライアントのブラウザ)が常に無効な証明書について不平を言っていることです。たまに発生する場合は、エラーかどうかを確認します。チェックを停止するたびに発生する場合。つまり、通信チャネルを暗号化しているため、情報が盗聴されるのを防ぐことができますが、不正なサーバーと通信している可能性があり、それは簡単に悪用される可能性があります。