+36 20 9 266 686 hello@juda.hu

„A kapcsolata nem privát” üzenet/jelenség lehetséges okai és megoldások

"
" A kapcsolata nem privát" - figyelmeztetés

Mostanában egyre gyakrabban találkozhatunk azzal, hogy ha beírunk egy weboldal címet, egy felugró ablak azt mondja, hogy „A kapcsolata nem privát … Nem folytathatja, mivel a weboldal kezelője kiemelt biztonsági előírást állított be erre a tartományra. Visszalépés biztonságosan.”

Technikai háttér

A leírt működés nem az eszköz/szoftver működésének eredménye.
Nézzük a dolog technikai hátterét:

Shared hosting esetében az IP cím nem kizárólag 1 domainhez (weboldalhoz) tartozik, hanem az összes olyan domain névnél be van állítva, aminek a weboldalát ugyanaz a szerver szolgálja ki. Amikor egy weboldalt meglátogatnak, akkor amikor a böngésző felveszi a kapcsolatot a webszerverrel, akkor megmondja, hogy melyik oldalt szeretné lekérni. Ha ez az oldal létezik, akkor annak a tartalmát adja oda a webszerver a böngészőnek, ha pedig nem létezik, akkor a szerver alapértelmezett weboldalát.

A webszerverhez lehet kapcsolódni a 80-as (http) és a 443-as (https) porton, mindkettőnek külön-külön beállításai lehetnek, akár különböző tartalmakat is szolgálhatnak ki ugyanolyan domain név alatt. Azt a kliens (böngésző) kezdeményezi, hogy hova kapcsolódik, méghozzá a protokoll (http / https) megadásával, nem a szerver dönti el. Eddigiekben az volt az alapértelmezett, hogy amennyiben a felhasználó nem ír semmit a domain név elé, akkor a böngésző a http:// -t illesztette be. Mostanában előfordul, hogy a nagy hype-nak felülve már néhány böngésző új verziói maguktól is http:// helyett https:// -t illesztenek be, illetve léteznek különböző olyan kiegészítők, amivel a böngészőtől függetlenül is ez történik. Az intelligensebb böngészők vagy kiegészítők olyan esetben, amikor nem lehet kapcsolódni a 443-as portra, nem eröltetik az átirányítást, azaz mégis hagyják http-n kapcsolódni az oldalhoz a látogatót.

Shared hosting esetében

azonban egy IP címhez sok domain név tartozik, és mindegyiknek külön certififace-je is van. Mivel https esetén előbb ellenőrzi a böngésző a certificate meglétét és helyességét és csak utána tölti be a tartalmat, ha mindent rendben talált. Szerver oldalon ennek a kezelésére van az x.509 SAN kiegészítés, amivel megoldható, hogy mindegyik https-es oldal a saját https certificate-jével kínálja.

 

Olyan oldal esetében aminek nincs certificate-je

a szerver alapértelmezett https-es weboldalának a certificate-jét kínálja fel, ami természetesen nem lesz helyes a nem létező weboldal certificate helyett. Ezért keletkezik a hibaüzenet. Mivel szerver oldalon nem lehet olyat beállítani, hogy nem létező oldal esetén utasítsa el a kapcsolatot vagy irányítsa át az oldalt (mivel ahogy az előbb írtam, előbb kerül ellenőrzésre a certificate, azaz előbb van a hibaüzenet minthogy bármit is lehessen csinálni), ezért ezt szerver oldalon nem lehet megoldani shared hosting esetén.
Előfordulhat, hogy a böngésző amivel az oldalt néztük frissült, vagy telepítésre került valamilyen olyan kiegészítő, ami http helyett automatikusan https-re irányítja a forgalmat, ezért tapasztalható a jelenség.

Megoldási lehetőségek:

1. A böngésző megjegyzi, ha akár csak egyszer is https-el próbált meg kapcsolódni, így utána már mindig automatikusan azzal fogja kiegészíteni a domaint. Valószínűsíthető hogy ha http:// -el beírva jön létre a kapcsolat, akkor azt is meg fogja jegyezni, de javasolt az előzményekből is kitörölni a https-es verziót. Érdemes egy próbát tenni a böngésző privát vagy inkognító módjában is.

2. Ha valami kiegészítő okozza (mivel jelenleg egyik böngésző stabil verziója sem teszi lehetetlenné a http-vel való kapcsolódást), akkor annak a kikapcsolásával, vagy kivételek közé történő felvétellel állhat vissza a működés.

3. Létrehozni a https-es tanúsítványt és azon elérhetővé tenni az oldalt (ebben esetben meg az lesz a hiba, hogy a pl. egy Wwordpress oldal nem képes egyszerre http-n és https-en keresztül is kiszolgálni ugyanazt az tartalmat, ezért ezt csak az oldal teljes https-re való átállásával, az összes hivatkozás kicserélésével, valamint http://akarmi.hu permanens https://akarmi.hu-ra való szerver oldali átirányításával egy időben lehet megcsinálni).

4. Saját, egyedi, senki más által nem használt IP címet kell vásárolni az oldalhoz, amelynél nincs nyitva a https/443 port, azaz nem fut ott webszerver, nem tud oda kapcsolódni a böngésző).