HTTPS è protetto su Wi-Fi pubblico con un certificato scaduto?

20

Sono in un hotel con Wi-Fi pubblico gratuito. Per ottenere l'accesso a Internet ho dovuto visitare una pagina web e accettare i termini e le condizioni. Questo sito Web ha un certificato di sicurezza, ma è scaduto oltre un anno fa.

Evidentemente questo significa che non posso verificare l'identità della pagina di accesso per il Wi-Fi. Se procedo comunque alla pagina, questo compromette la sicurezza di altri siti Web HTTPS in qualsiasi modo (ad esempio abilitando Attacchi MITM )?

Ho letto altri thread su HTTPS su Wi-Fi pubblico, e sembra che sia OK, a condizione di verificare l'URL e procedere solo se i certificati del sito web sono attendibili. Ma il certificato scaduto / non attendibile nella pagina di accesso introduce ulteriori rischi per la sicurezza?

    
posta Alex 14.03.2016 - 07:54
fonte

4 risposte

20

Quindi sei stato reindirizzato a una pagina del portale in cattività con un certificato scaduto.

In teoria ciò mette a rischio solo i dati trasferiti su questa particolare connessione, ad es. accettare le regole ed eventualmente i tuoi dati personali o di pagamento se dovessi fornire qualsiasi. In effetti il captive portal non ha dovuto usare la connessione https e probabilmente non lo noteresti.

Non introduce il rischio aggiuntivo per il fatto che stai già utilizzando una rete pubblica, potenzialmente altamente insicura con tutte le sue conseguenze.

Ricorda che eri su una rete non sicura dal momento in cui hai stabilito la connessione, prima ancora di aprire un browser e sei stato reindirizzato al portale.

    
risposta data 14.03.2016 - 08:12
fonte
9

Un certificato scaduto significa semplicemente che il certificato non è stato rinnovato non appena avrebbe dovuto essere. Il rinnovo del certificato è una misura preventiva per il caso in cui la chiave privata viene rubata senza che nessuno lo sappia. La sostituzione di un certificato a intervalli regolari riduce l'utilità di una chiave rubata. Ma le date di scadenza dei certificati possono essere scelte in modo abbastanza arbitrario. Il rischio che qualcuno ha rubato il certificato per impersonare il titolare del certificato aumenta nel tempo, ma tale rischio non aumenta improvvisamente il giorno in cui scade il certificato.

Ciò significa che gli avvisi di scadenza delle certificazioni sono un segno di cattive pratiche di sicurezza da parte del proprietario del sito Web, ma quando il certificato si ritira bene altrimenti si sceglie di accettarlo comunque, la crittografia è altrettanto strong che con una valida .

    
risposta data 14.03.2016 - 10:14
fonte
0

HTTPS non è particolarmente sicuro su WiFi pubblico, indipendentemente dal certificato, grazie in parte a Mr. Moxie Marlenspike Striscia SSL.

    
risposta data 14.03.2016 - 19:06
fonte
0

Nessun certificato scaduto o non scaduto è meno sicuro a meno che non sia stato compromesso. La forza di sicurezza del certificato è misurata in hash type + size, key algo + keysize e la possibilità di verificarlo. Se la data è scaduta - non scade il certificato CA che l'ha firmata, quindi:

  • può ancora essere verificato
  • Gli hash
  • hanno la stessa forza, quindi anche la crypto: stessa chiave, stesso algo

hai solo un avviso di scadenza. Non è convinto, ma OK. Se il cert non è compromesso, va bene. E se un certificato viene compromesso, direttamente o indirettamente, si trasforma in una inutile ciarpame indipendentemente dalla data di scadenza.

    
risposta data 15.03.2016 - 14:38
fonte

Leggi altre domande sui tag