La mia connessione SSL è crittografata se il certificato non è attendibile?

7

In chrome, quando visito un sito che viene servito utilizzando SSL con un certificato non attendibile, l'avviso sulla privacy viene attivato e impedisce di connettermi a meno che non lo desideri. In questo caso, con un certificato autofirmato, la mia connessione è ancora crittografata (o quali altri pericoli sorgono da questo scenario)?

    
posta jars 12.01.2016 - 06:55
fonte

2 risposte

9

SSL è composto da due parti principali:

  • la crittografia dei dati
  • la convalida che stai effettivamente parlando al server previsto

Se viene visualizzato un avviso relativo a un certificato non attendibile, la crittografia continuerà a funzionare, ma non si è certi che si stia parlando con il server previsto. Ciò significa che un uomo nel mezzo dell'attacco potrebbe essere possibile dove un attaccante attivo decodificherà, annuserà e riedificherà il traffico. Questo è invece questo:

     Browser <----------- encrypted -----------------------> Bank

ottieni questo:

     Browser <-- encrypted --> Attacker <--- encrypted ----> Bank

In questo caso l'utente malintenzionato può annusare tutti i dati (password ecc.) e persino modificare i dati e il client non se ne accorge. Le connessioni sono ancora crittografate, ma non end-to-end (da browser a server) ma da browser ad attaccante e di nuovo da attaccante a server.

Di solito non devi ignorare l'avviso del browser perché è probabile che ci sia un uomo nel mezzo dell'attacco in corso. Solo nel caso in cui si sappia che il certificato è quello atteso (verificare l'impronta digitale, non solo l'oggetto del certificato) è possibile ignorare l'avviso.

Si noti che ci sono casi di attacchi legali nel mezzo, cioè intercettazione SSL eseguita da proxy antivirus o da middleboxes (firewall) in modo che questi possano analizzare il traffico crittografato. In questo caso il computer viene configurato automaticamente per considerare attendibili questi certificati oppure è necessario importare esplicitamente la CA proxy che ha firmato i nuovi certificati. Se stai riscontrando questo tipo di problemi mentre usi il tuo computer all'interno dell'azienda, chiedi all'amministratore di rete come procedere e non accettare semplicemente i certificati.

    
risposta data 12.01.2016 - 09:41
fonte
2

La tua connessione è crittografata, ma se non fai la verifica manuale del certificato, non sei sicuro di chi sia il peer al quale sei connesso (che per definizione sarebbe in grado di intercettare la connessione). Questa è la cosiddetta persona (o uomo) nell'attacco centrale.

    
risposta data 12.01.2016 - 07:34
fonte

Leggi altre domande sui tag