Problemi con i certificati HTTPS di alcuni domini

[cancellato] Per capire perché succede bisognerebbe vedere il certificato inviato. Facendo click su "Non sicuro" si dovrebbe poter vedere il certificato e la catena di validazione.

@Andreazordan Facci vedere il certificato come consigliato, molto probabilmente si tratta di SSL hijacking (il tuo pc con un antivirus e similari o qualcuno in mezzo (router/firewall/etc) ha sostituito il certificato SSL) o DNS hijacking, piuttosto che essere il router hackerato.

Belzebu69

Se fai correttamente hijacking però copi i dati del certificato originale e poi lo firmi con una CA diversa - in quel caso se la CA non è valida per il browser appare un errore diverso. Qui pare gli passi un CN diverso o qualcosa del genere, ma senza vedere il certificato difficile dire di più.

Andreazordan hai cose come Tim navigazione sicura o simili? Perché qua è qualcosa di Tim che sta giocandoci

Andreazordan Dove si vede?

Devi chiedere a TIM se ti hanno attivato il servizio "TIM NAVIGAZIONE SICURA"

handymenny
Non l'ho mai provato... ma perchè Tim navigazione sicura dovrebbe compromettere i certificati ? Vorrebbe dire che ormai non navighi più da nessuna parte...

Andreazordan

Il sito ce l'hai in locale o è su un server remoto? Perché solo nel primo caso 'aprire porte' avrebbe senso se l'Hub fa NAT reflection. Non è però 'hackerare' nulla, solo fare una configurazione necessaria.

Non capisco poi cosa faccia Safe Web per creare quell'errore.

handymenny

Sì, ma non ha fatto un reindirizzamento ad una pagina nel suo dominio.

[cancellato] Non capisco poi cosa faccia Safe Web per creare quell'errore.

Il DNS del router risponde con un IP diverso che ospita la pagina sito pericoloso. Ovviamente TIM non può avere il certificato per il sito da bloccare, quindi il tutto funziona solo in HTTP ma Chrome utilizza HTTPS come prima scelta: https://blog.chromium.org/2021/03/a-safer-default-for-navigation-https.html

Marco25

TIM comunque risponde in HTTPS ma con un certificato non valido. Non dovrebbe allora rispondere in HTTPS ma sarebbe comunque inutile perché non potresti in HTTP validare l'origine della pagina. Mah, meccanismo abborracciato, IMHO, non più adatto ai tempi.

Marco25 Il DNS del router risponde con un IP diverso che ospita la pagina sito pericoloso

è anche scritto nelle condizioni "contrattuali":

Safe Web opera a livello DNS (Domain Name System) grazie all’integrazione di una nuova piattaforma tecnologica con i Domain Name System (DNS) di TIM.
[...]
Nel caso si presenti una pagina di avviso di sito bloccato perché potenzialmente pericoloso, il cliente potrà decidere di proseguire comunque nella navigazione su tale sito tramite la funzionalità di SKIP oppure tornare indietro e continuare la navigazione su un sito differente. Nel caso in cui il cliente scelga di continuare la navigazione, la connessione verrà effettuata mediante una piattaforma intermediaria che si interfaccerà con i sistemi di TIM.

https://img.tim.it/sdr/documenti/contratti/Contratto-Safe-Web-2020-07.pdf

Marco25

Il browser può anche forzare HTTPS, ma se il server non gli risponde e gli fa un redirect in HTTP a quel punto il browser o visualizza la pagina HTTP (con tutti i warning del caso) o si rifiuta e segnala errore. Però non puoi essere sicuro che sia un warning TIM perché non c'è autenticazione. Cercare di visualizzare una pagina incasinando i certificati non è un bel modo, IMHO, ormai i browser sono molto pignoli sulla validazione.

[cancellato] Nel mio ultimo commento ho scritto “forza” ma mi riferivo alla funzionalità che dà la precedenza a HTTPS. In tal caso se la pagina facesse un redirect a HTTP, questa verrebbe visualizzata con un avviso “Non sicuro” non bloccante. Se la pagina non rispondesse del tutto in HTTPS (diverso da non valido come per OP), allora verrebbe tentato HTTP con esito medesimo. In modalità solo-HTTPS (Firefox/Chrome), l’avviso sulla pagina HTTP sarebbe bloccante ma non altrettanto minaccioso come HTTPS “rotto”.