Por alguna razón (por ejemplo, una mala configuración de las preferencias, tal vez?) Safari 6.0.5, en OS X 10.8.4, no me da una advertencia de certificado SSL cuando visito un sitio cuyo nombre de host no coincide con el nombre de host vinculado al certificado del sitio.
A continuación se reproduce la información del certificado que me dio Safari, pero sólo cuando hice clic en el icono "https" situado entre el favicon y el nombre de host (con el nombre de dominio redactado). Indica claramente que el certificado no es válido para el nombre de host.
Creo que esta información sobre el desajuste del nombre de host debería tener apareció en un notificador de advertencia que contenía el mensaje:
Safari no puede verificar la identidad del sitio web "sbxstg. redactado .com"
Pero no se me ha dado ningún aviso de este tipo; sólo una barra de direcciones cuyo contenido hace ver que todo ha ido bien y sin errores, y que tengo una conexión segura con el titular del certificado. (!!)
¿Puede alguien decirme dónde debo buscar para volver a activar la función de advertencia, si es que la he desactivado por error?
Por otro lado, ¿es posible que haya encontrado un caso de esquina/error en Safari? Tenga en cuenta que el dominio al que Safari afirma que está vinculado el certificado es simplemente redactado .com, y no *. redactado .com. ¿Podría esto confundir al algoritmo que utiliza Safari para decidir si aparece la advertencia?
Por si sirve de algo, Firefox 21.0 que se ejecuta en el mismo Mac me da el esperado mensaje "Esta conexión no es de confianza", indicando en la sección de detalles técnicos que:
sbxstg. redactado .com utiliza un certificado de seguridad no válido.
El certificado sólo es válido para los siguientes nombres:
redactado .com , www. redactado .com".
Actualización: He podido reproducir este comportamiento en Safari 6.2.3, pero sólo después de recibiendo un primer aviso de que había un problema con el certificado ("Safari no puede verificar la identidad del sitio web sbxstg.redacted.com. El certificado de este sitio web no es válido...").
Sin embargo, una vez que hice clic en "Continuar", los siguientes intentos de cargar https://sbxstg.redacted.com parece funcionar como se describe en mi post original (es decir, no hay una advertencia modal obvia - sólo la que se oculta hasta que se muestra la información del certificado).
Así que parece que tienes una oportunidad. Y si decides "malditos sean los torpedos", entonces te tocará recordar para siempre que hay algo sospechoso en el sitio/certificado, porque habrás "desactivado" la advertencia en tu cara para ese sitio en particular. (Me imagino que cuando publiqué esta pregunta, debí haber pulsado "Continuar" en algún momento anterior y no recordé que lo había hecho).
Así que la pregunta sigue siendo: ¿Cómo puedo volver a activar la función de advertencia?
