Perché questo certificato per Imgur è valido solo per un giorno?

61

Sono connesso a un WiFi della caffetteria e ho ricevuto un avviso dal mio browser mobile. Quando ho guardato oltre, sembra che il certificato sia valido per un giorno, il che sembra super sospetto.

Si dice Imgur, ma allora perché è contrassegnato e perché è valido solo per un giorno?

Ecco lo stesso certificato durante l'utilizzo di hotspot / dati di un amico:

Non ho trovato un altro certificato interessato.

    
posta Pureferret 05.05.2018 - 17:31
fonte

3 risposte

88

Questo non è uno dei certificati Imgur.

Registri di trasparenza del certificato

Le autorità di certificazione devono segnalare tutti i certificati che generano ai registri di trasparenza, che sono database pubblici. Ciò consente agli agenti utente, come Chrome, di verificare che questo certificato possa essere verificato dal proprietario del sito web.

Secondo i seguenti strumenti di ricerca per la trasparenza dei certificati, questo certificato non è stato registrato e una vita breve non è usuale per Imgur:

Filtro DNS

Secondo i messaggi di errore, questo certificato non è stato rilasciato da un'autorità di certificazione valida, quindi non puoi fidarti dell'emittente.

L'emittente afferma di essere "DNSFilter".

DNSFilter è un proxy utilizzato per richieste di filtro e tenta anche di proxy HTTPS richieste , quindi genera un certificato autofirmato per ogni dominio.

Poiché non ci si può fidare dell'emittente, non si può essere certi che il certificato provenga dal prodotto DNSFilter reale. Chiunque potrebbe impersonarlo.

È lecito ritenere che questo non sia un certificato legittimo per Imgur.

Il motivo esatto per una vita così breve per il certificato è sconosciuto.

    
risposta data 05.05.2018 - 17:55
fonte
68

Questo è apparentemente un attacco MITM. Qualcuno sta cercando di intercettare la connessione.

Indipendentemente dal fatto che si tratti di un malintenzionato di terze parti o il tentativo di filtrare contenuti / inserire annunci pubblicitari (relativamente innocuo) è impossibile dire di sicuro. Mentre il certificato afferma di essere rilasciato da Filtro DNS , è impossibile dire se lo fosse davvero. Chiunque può creare un certificato con il nome che dichiara di essere "Filtro DNS" e il certificato non è firmato da nessuno, quindi non ci si può fidare di ciò che dice. Potrebbe essere stato davvero creato da DNS Filter, ma potrebbe anche essere un malintenzionato che cerca di guadagnare fiducia usando un nome riconoscibile. NON DEVE assumere che sia stato realmente creato da Filtro DNS.

In ogni caso, questo non è certamente un vero certificato imgur.

    
risposta data 05.05.2018 - 17:43
fonte
28

Questo certificato è valido

No, viene generato al volo da DNSFilter o da un utente malintenzionato che finge di essere DNSFilter eseguire un attacco MITM.

Perché questo certificato viene presentato

DNSFilter consente di monitorare l'utilizzo della rete e bloccare i siti, ma quando blocca un sito vuole mostrare un messaggio di errore, quindi se il traffico è crittografato deve essere in grado di decrittografarlo, cosa che può fare solo con:

  • Avere il certificato originale
  • Creazione di un nuovo certificato

Perché c'è un avvertimento

Poiché il nuovo certificato non è considerato affidabile dalla macchina, viene visualizzato un avviso. Questo è vero in entrambi i casi, una CA attaccante non sarebbe affidabile, ma lo sarebbe anche la CA DNSFilter.

Perché il certificato è valido solo per un giorno

Ci sono molti motivi per cui questo potrebbe essere, ma uno dei principali è cercare di ridurre il rischio che ogni singolo certificato pone se è trapelato. L'idea è che finché il certificato radice viene tenuto al sicuro, anche se un sito cert perde, è considerato affidabile solo dai dispositivi che si fidano della CA.

Poiché i certificati vengono generati al volo, non vi è alcun problema con la regolare riemissione richiesta.

L'intercettazione SSL è una buona idea?

L'intercettazione SSL è generalmente una pessima idea, per molte ragioni:

  • I dati sensibili possono essere registrati dal dispositivo di intercettazione
  • Le chiavi possono essere uguali per tutti i dispositivi, quindi chiunque può intercettare una copia della chiave principale
  • La chiave può essere acquisita dal dispositivo, portando a chiunque sia in grado di intercettare
  • I certificati EV vengono declassati ai certificati standard
  • Le applicazioni che utilizzano il blocco non funzionano con il certificato modificato

Ci sono alcuni casi in cui è accettabile, quando assolutamente è necessario, ma questi non si applicano al WiFi pubblico, in cui non ti fidi in realtà dell'operatore dell'hotspot.

    
risposta data 05.05.2018 - 20:55
fonte

Leggi altre domande sui tag