Perché i certificati Let's Encrypt sono accettati per impostazione predefinita dai browser? [duplicare]

34

Recentemente sono stato quasi catturato da un tentativo di phishing, a causa dell'uso di un nome di dominio relativamente convincente e di un certificato SSL valido (in particolare questo sito web ). Quando si controlla il certificato risulta che è stato rilasciato da Let's Encrypt. Così sono andato là e per quanto ho capito, il processo di rilascio di un certificato è automatico: se possiedi un dominio, puoi ottenere un certificato.

Tuttavia non è un problema di sicurezza e non va (almeno in parte) contro il punto dei certificati SSL? I siti Web dannosi ora possono sembrare legittimi grazie a questi certificati, il che rende molto più probabile il loro successo. Nel mio caso ho visto il lucchetto verde sull'URL e ho pensato che tutto andava bene. Ora sembra che, a causa di questo emittente di certificati, gli utenti dovranno fare clic su quel lucchetto e controllare chi ha emesso il certificato (e chiudere la scheda se proviene da letencrypt ??).

Quindi mi chiedo, dati i rischi per la sicurezza, perché i browser accettano questo certificato per impostazione predefinita? Sono sorpreso soprattutto del fatto che Chrome sia consapevole di quanto Google sia attento con la sicurezza. Pensano che LetCrypt sia una buona idea?

    
posta this.lau_ 25.11.2016 - 13:49
fonte

3 risposte

128

Penso che tu stia fraintendendo ciò che un certificato SSL effettivamente certifica e con cosa è progettato per proteggerci.

Un certificato standard attesta solo che il proprietario del certificato controlla effettivamente il dominio in questione. Pertanto, un certificato per g00dbank.com certifica solo che il proprietario controlla il dominio g00dbank.com . Non certifica che il proprietario è una banca, che lei è buona , o che il sito è in effetti il ben noto Good Bank Incorporated.

Quindi SSL non è progettato per la protezione dal phishing. Solo perché vedi il green lock nell'angolo sinistro non significa che tutto vada bene. Devi anche verificare che ti trovi sul sito web corretto - che sei su goodbank.com (in contrapposizione al phishy g00dbank.com ) e che goodbank.com è in realtà il sito web di Good Bank Incorporated.

Per rendere questo più facile per l'utente medio, c'è qualcosa chiamato certificati Extended Validation (EV). Questi inoltre verificano che tu sia l'entità legale che dichiari di essere, richiedendo che tu faccia un po 'di documenti. La maggior parte dei browser principali li evidenzia con visualizzazione del nome del proprietario nella barra degli indirizzi .

Quindi, per ottenere un certificato EV, i phisher a g00dbank.com dovrebbero avviare un'attività reale (lasciando così una traccia cartacea), e anche allora probabilmente non ne otterrebbero uno perché il loro nome è vicino a un target sensibile.

Lets Encrypt non emette certificati EV. Emettono quelli ordinari. Ma i phisher che hai incontrato potrebbero aver ottenuto un certificato da qualsiasi luogo. Infatti, come IMSoP indica nei commenti, il metodo utilizzato da Leprypt viene utilizzato da molti dei CA stabiliti: s, l'unica differenza è che Lets Encrypt è più efficiente e meno costoso. Quindi questo non ha nulla a che fare con Lets Encrypt in particolare, e il loro blocco non risolverà nulla.

    
risposta data 25.11.2016 - 14:08
fonte
23

Perché il tuo browser si fida dei certificati dall'iniziativa Let's Encrypt?

Solo per rendere chiara questa parte: il tuo browser / computer si fida di questi certificati, perché ha riconosciuto la CA radice "DST Root CA X3" e l'ha memorizzata in un elenco con certificati attendibili. La CA "DST Root CA X3" si fida nuovamente di Let's Encrypt e ha firmato il loro certificato.

I certificati gratuiti / economici / facili da ottenere sono un problema di sicurezza?

No.

Avere un certificato firmato o servire https non significa che il sito web sia malevolo o meno. Dimostra solo che sei connesso a un server che ha un certificato valido e firmato per il dominio.

    
risposta data 25.11.2016 - 14:07
fonte
12

Il certificato non fornisce più alcuna garanzia che ciò che è nel certificato stesso. Nel caso di Let's Crypt Certificati, tutto ciò che è garantito è che il server a cui sei connesso appartiene alla stessa entità che possiede il nome di dominio che hai usato per collegarti ad esso.

Esiste un'altra classe di certificati denominata "certificato di convalida esteso" in cui la CA emittente esegue ulteriori verifiche. Fondamentalmente, la verifica che il dominio sia di proprietà di un'entità commerciale esistente. Il browser in genere visualizza tale certificato con un indicatore verde con ulteriori dettagli (Chorme, ad esempio, aggiungerà "la connessione è sicura e la società è nota") alla descrizione del certificato.

In sostanza, la presenza di un certificato SSL valido non indica che il dominio di destinazione è sicuro. Anche il certificato EV non ti dice molto (anche se è un po 'meglio).

    
risposta data 25.11.2016 - 14:04
fonte

Leggi altre domande sui tag