La mia connessione SSL è crittografata se il certificato non è attendibile?

Naviga le tue risposte
7

In chrome, quando visito un sito che viene servito utilizzando SSL con un certificato non attendibile, l'avviso sulla privacy viene attivato e impedisce di connettermi a meno che non lo desideri. In questo caso, con un certificato autofirmato, la mia connessione è ancora crittografata (o quali altri pericoli sorgono da questo scenario)?

    
posta jars 12.01.2016 - 06:55
fonte

2 risposte

9

SSL è composto da due parti principali:

  • la crittografia dei dati
  • la convalida che stai effettivamente parlando al server previsto

Se viene visualizzato un avviso relativo a un certificato non attendibile, la crittografia continuerà a funzionare, ma non si è certi che si stia parlando con il server previsto. Ciò significa che un uomo nel mezzo dell'attacco potrebbe essere possibile dove un attaccante attivo decodificherà, annuserà e riedificherà il traffico. Questo è invece questo: 

     Browser <----------- encrypted -----------------------> Bank

ottieni questo: 

     Browser <-- encrypted --> Attacker <--- encrypted ----> Bank

In questo caso l'utente malintenzionato può annusare tutti i dati (password ecc.) e persino modificare i dati e il client non se ne accorge. Le connessioni sono ancora crittografate, ma non end-to-end (da browser a server) ma da browser ad attaccante e di nuovo da attaccante a server.

Di solito non devi ignorare l'avviso del browser perché è probabile che ci sia un uomo nel mezzo dell'attacco in corso. Solo nel caso in cui si sappia che il certificato è quello atteso (verificare l'impronta digitale, non solo l'oggetto del certificato) è possibile ignorare l'avviso.

Si noti che ci sono casi di attacchi legali nel mezzo, cioè intercettazione SSL eseguita da proxy antivirus o da middleboxes (firewall) in modo che questi possano analizzare il traffico crittografato. In questo caso il computer viene configurato automaticamente per considerare attendibili questi certificati oppure è necessario importare esplicitamente la CA proxy che ha firmato i nuovi certificati. Se stai riscontrando questo tipo di problemi mentre usi il tuo computer all'interno dell'azienda, chiedi all'amministratore di rete come procedere e non accettare semplicemente i certificati.

    
risposta data 12.01.2016 - 09:41
fonte
2

La tua connessione è crittografata, ma se non fai la verifica manuale del certificato, non sei sicuro di chi sia il peer al quale sei connesso (che per definizione sarebbe in grado di intercettare la connessione). Questa è la cosiddetta persona (o uomo) nell'attacco centrale.

    
risposta data 12.01.2016 - 07:34
fonte

Leggi altre domande sui tag

Devo utilizzare un generatore di numeri casuali crittograficamente sicuro quando genero gli ID? L'intestazione di Content Security Policy fornisce un falso senso di sicurezza se una pagina viene pubblicata su HTTP non crittografato?