Ho un MITM corrente?

25

Mi scuso per la concisione di questa domanda; Ho un problema Google.co.uk sta fallendo il suo HST sui miei browser.

Sitrattadiunproblemacongoogle.co.ukositrattasolodime?QualcunostacontrollandolamiaconnessioneInternet?

Mentrepossotrovaremoltisiti che mi dicono che google.co.uk sta funzionando non sono stato in grado per stabilire se il problema dell'HSTS sono io o Google. Sospetto che sia io, ma vorrei una conferma di terze parti.

PS: questo sembra finora solo per google.co.uk, e sfortunatamente snuck.me non sembra funzionare per chiarire altri anche i certificati non HSTS dei siti.

Aggiornamento:

Dopo dieci minuti di abbandono, google.co.uk ora funziona di nuovo, tuttavia utilizzando snuck.me trovo quanto segue:

Impronta digitale in base al browser:

D1:8F:DE:83:4A:68:88:32:DD:CF:C8:6B:0C:74:94:33:02:75:BC:43

impronta digitale secondo snuck.me:

42:38:CE:6C:AA:C5:FE:13:A0:5A:56:88:F3:F2:E7:E4:D7:14:07:DA

Questo conferma che ho un MITM?

    
posta Martin 12.06.2017 - 21:15
fonte

2 risposte

40

Il tuo browser ha rifiutato un certificato, ma questo non deve essere causato da un attacco.

Google.co.uk is failing its HSTS on my browsers.

L'avviso che vedi non indica in particolare un problema con HSTS. È solo Firefox che dice: "Il certificato non è valido e, a proposito, non ti consentiremo di aggiungere un'eccezione manuale perché il sito utilizza HSTS." 1

Ci sono molti motivi plausibili per cui hai ricevuto un certificato non valido per un breve periodo di tempo. Potrebbe essere un problema al tuo ISP, un problema con il tuo router, intercettazione SSL da un captive portal (come menzionato da @FedericoPoloni) o, in teoria, un tentativo scarso di un attacco MITM. La prima fase dell'indagine sarebbe quella di verificare quale certificato ti è stato effettivamente offerto.

In seguito, non hai confrontato correttamente i certificati: sei connesso a www.google.co.uk ma hai eseguito il test di terze parti contro google.co.uk . Questi sono tecnicamente diversi domini che servono diversi certificati in base al nome del server indicato.

Qui sto testando ogni -servername con openssl e dovresti riconoscere entrambe le impronte digitali:

$ openssl s_client -servername www.google.co.uk -connect www.google.co.uk:443 < /dev/null 2>/dev/null | openssl x509 -fingerprint -noout -in /dev/stdin
SHA1 Fingerprint=D1:8F:DE:83:4A:68:88:32:DD:CF:C8:6B:0C:74:94:33:02:75:BC:43
$ openssl s_client -servername google.co.uk -connect www.google.co.uk:443 < /dev/null 2>/dev/null | openssl x509 -fingerprint -noout -in /dev/stdin
SHA1 Fingerprint=42:38:CE:6C:AA:C5:FE:13:A0:5A:56:88:F3:F2:E7:E4:D7:14:07:DA

1 HSTS (HTTP Strict Transport Security) è un'intestazione che i server Web possono inviare per indicare che i client non devono mai connettersi al sito su HTTP semplice (per un periodo di tempo specificato). Il tuo browser ha rilevato quell'intestazione durante una delle tue precedenti visite a www.google.co.uk o lo ha precaricato. Uno degli effetti collaterali dell'intestazione è che l'interfaccia utente non consente più di ignorare gli avvisi del certificato aggiungendo un'eccezione.

    
risposta data 12.06.2017 - 21:36
fonte
1

Controlla l'ora nel tuo sistema. A volte viene visualizzato questo errore quando il mio orologio (ora di sistema) è errato o quando si verifica una sincronizzazione di mancanza temporale.

    
risposta data 14.06.2017 - 06:43
fonte

Leggi altre domande sui tag