Sono connesso a un WiFi della caffetteria e ho ricevuto un avviso dal mio browser mobile. Quando ho guardato oltre, sembra che il certificato sia valido per un giorno, il che sembra super sospetto.
Si dice Imgur, ma allora perché è contrassegnato e perché è valido solo per un giorno?
Ecco lo stesso certificato durante l'utilizzo di hotspot / dati di un amico:
Non ho trovato un altro certificato interessato.
Questo non è uno dei certificati Imgur.
Le autorità di certificazione devono segnalare tutti i certificati che generano ai registri di trasparenza, che sono database pubblici. Ciò consente agli agenti utente, come Chrome, di verificare che questo certificato possa essere verificato dal proprietario del sito web.
Secondo i seguenti strumenti di ricerca per la trasparenza dei certificati, questo certificato non è stato registrato e una vita breve non è usuale per Imgur:
Secondo i messaggi di errore, questo certificato non è stato rilasciato da un'autorità di certificazione valida, quindi non puoi fidarti dell'emittente.
L'emittente afferma di essere "DNSFilter".
DNSFilter è un proxy utilizzato per richieste di filtro e tenta anche di proxy HTTPS richieste , quindi genera un certificato autofirmato per ogni dominio.
Poiché non ci si può fidare dell'emittente, non si può essere certi che il certificato provenga dal prodotto DNSFilter reale. Chiunque potrebbe impersonarlo.
È lecito ritenere che questo non sia un certificato legittimo per Imgur.
Il motivo esatto per una vita così breve per il certificato è sconosciuto.
Questo è apparentemente un attacco MITM. Qualcuno sta cercando di intercettare la connessione.
Indipendentemente dal fatto che si tratti di un malintenzionato di terze parti o il tentativo di filtrare contenuti / inserire annunci pubblicitari (relativamente innocuo) è impossibile dire di sicuro. Mentre il certificato afferma di essere rilasciato da Filtro DNS , è impossibile dire se lo fosse davvero. Chiunque può creare un certificato con il nome che dichiara di essere "Filtro DNS" e il certificato non è firmato da nessuno, quindi non ci si può fidare di ciò che dice. Potrebbe essere stato davvero creato da DNS Filter, ma potrebbe anche essere un malintenzionato che cerca di guadagnare fiducia usando un nome riconoscibile. NON DEVE assumere che sia stato realmente creato da Filtro DNS.
In ogni caso, questo non è certamente un vero certificato imgur.
No, viene generato al volo da DNSFilter o da un utente malintenzionato che finge di essere DNSFilter eseguire un attacco MITM.
DNSFilter consente di monitorare l'utilizzo della rete e bloccare i siti, ma quando blocca un sito vuole mostrare un messaggio di errore, quindi se il traffico è crittografato deve essere in grado di decrittografarlo, cosa che può fare solo con:
Poiché il nuovo certificato non è considerato affidabile dalla macchina, viene visualizzato un avviso. Questo è vero in entrambi i casi, una CA attaccante non sarebbe affidabile, ma lo sarebbe anche la CA DNSFilter.
Ci sono molti motivi per cui questo potrebbe essere, ma uno dei principali è cercare di ridurre il rischio che ogni singolo certificato pone se è trapelato. L'idea è che finché il certificato radice viene tenuto al sicuro, anche se un sito cert perde, è considerato affidabile solo dai dispositivi che si fidano della CA.
Poiché i certificati vengono generati al volo, non vi è alcun problema con la regolare riemissione richiesta.
L'intercettazione SSL è generalmente una pessima idea, per molte ragioni:
Ci sono alcuni casi in cui è accettabile, quando assolutamente è necessario, ma questi non si applicano al WiFi pubblico, in cui non ti fidi in realtà dell'operatore dell'hotspot.
Leggi altre domande sui tag wifi certificates