Perché è falso il certificato SSL difficile?

22

Nelle notizie che arrivano dall'Iran, si sente che l'Iran è riuscito a creare certificati ssl falsi, in modo che possano trovare le credenziali dell'account Gmail delle persone.

Alcuni analisti dicono che è possibile ma difficile, mi chiedo perché è difficile, dove si trova la difficoltà, perché il tuo ISP non può farlo per te?

    
posta user893730 17.02.2012 - 08:07
fonte

3 risposte

22

Lascia che ti spieghi tramite un esempio pratico.

Ci sono un insieme di Autorità di certificazione (CA) che i browser considerano implicitamente attendibili. È possibile visualizzare l'elenco di CA attendibili nel browser. Per es. le CA fidate dal browser Chrome sono disponibili nel menu "Menu chiave inglese > Preferenze > Sotto la cappa > HTTPS / SSL (Gestisci certificati) > Autorità".

Quindi, il certificato che mail.google.com presenta al tuo browser è 'firmato' da Thawte SGC CA. Questa CA è implicitamente attendibile dal browser. Queste CA emetteranno i certificati solo dopo una verifica approfondita (e manuale).

Tu e io non possiamo ingannare Thawte o Verisign per firmarci un certificato falso per google. Anche se tali casi si verificano , ma sono rari e richiedono per lo più un aiuto da parte di esperti.

Ora, sul tuo computer, puoi procedere e creare certificati indicando che sono di Google. com. Ma questi certificati sono "autofirmati" e non saranno considerati attendibili dal browser perché la CA (tu) non si trova nell'elenco dei certificati attendibili. In questo caso, il browser ti mostrerà l'avviso del certificato.

Quindi, ora per rispondere alla tua domanda, ci sono un paio di modi in cui vengono creati certificati falsificati (o fatti funzionare):

  • Proprio come ho detto sopra, una persona può ingannare una CA (che è attendibile dal browser) per rilasciare un certificato per un sito che non appartiene a te. Per questo motivo le persone rimuovono spesso manualmente le CA di fiducia dal proprio elenco. Dio sa quali procedure segue quell'AC in quel paese mai sentito. Ho visto persone paranoiche che rimuovono CA dall'elenco dei browser attendibili.

  • La CA viene violata (o è stata creata per emettere falsi certificati). In tale caso puoi rilasciare certs a la tua volontà. Per non parlare, tali CA cessano immediatamente l'attività una volta trovato questo.

  • Puoi anche avere un falso certificato "autofirmato" di google.com e continuare a ignorare il controllo di sicurezza del browser se aggiungi la tua CA alla lista di fiducia del browser. Le aziende possono farlo. Ho visto (e lavorato a) aziende in cui lo fanno apertamente per "ragioni di conformità". Dal momento che le macchine desktop sono sotto il loro controllo, installano la propria CA nell'archivio attendibile del browser e presentano un browser falso di Gmail al browser, quale browser si fida e intercetta felicemente TUTTE le conversazioni / email.

In tutti i casi - che cosa ottieni contraffando un certificato: puoi MITM (Man in the middle) il server e il computer degli utenti e decrittografare la sessione SSL.

Ho lasciato molte sfumature più minuziose nella creazione di un certificato nella mia descrizione sopra per presentare un quadro generale. Puoi leggere la Cert Patrol e perspectives per vedere come puoi evitare di cadere vittima di un falso certificato anche se la sua CA è nell'elenco dei browser attendibili.

Puoi anche leggere blocco dei certificati che può aiutare a prevenire tali dirottamenti del certificato.

    
risposta data 17.02.2012 - 09:31
fonte
7

Non è tecnicamente difficile creare un certificato SSL per qualsiasi cosa tu voglia; quella parte è banale.

La parte difficile è che ne hai bisogno, firmata da, o firmata da qualcosa di autorizzato e firmato da, una delle serie di certificati radice affidabili che, ad esempio, contiene il tuo browser web.

Questi appartengono alle varie autorità di certificazione e sono protetti da una strong autenticazione crittografica, il che significa che è computazionalmente impraticabile per qualcuno creare un certificato che sarà considerato attendibile dal tuo browser senza accesso a materiale segreto il l'autorità di certificazione protegge.

Quindi, il trucco non è rendere il certificato, è convincere qualcuno a fidarsi di esso.

    
risposta data 17.02.2012 - 08:10
fonte
2

Inoltre, potresti dare un'occhiata all'articolo su Digi Notar, c'è stato qualche scalpore l'anno scorso dopo aver subito una violazione e distribuito certificati falsi. Il problema è che i computer sono costruiti per fidarsi dei certificati delle CA qualificate, quindi se riesci a ottenere un certificato è difficile garantire che tutti i computer in tutto il mondo vedano che è stato revocato.

link

    
risposta data 17.02.2012 - 09:32
fonte

Leggi altre domande sui tag