Recentemente ho cambiato accidentalmente l'orario del sistema in un altro mese, quindi ho navigato su un sito sicuro. Ho ricevuto un avviso da Google Chrome che menzionava il mio orario di sistema e diceva che il certificato non è valido.
Se ho un certificato valido che è ok per un periodo di tempo che è già passato e sono in grado di cambiare l'orario del sistema, cosa succederebbe? Funzionerebbe bene? Ci sarebbe comunque un avvertimento?
Le spiegazioni sarebbero benvenute.
La verifica dei certificati comporta il controllo di diverse date relative a "l'ora corrente" come noto dal sistema che esegue la verifica (ad esempio il tuo desktop o laptop). In particolare, il tuo sistema cercherà di ottenere nuove informazioni di revoca (il CRL). Se il tuo orologio di sistema è spento, non considererà qualsiasi CRL che può scaricare come "fresco"; può emettere avvertenze spaventose, in particolare se vede un CRL "dal futuro".
Inoltre, in SSL / TLS , il client e il server si comunicano reciprocamente la nozione dell'ora corrente. Anche in questo caso, le discrepanze potrebbero essere avvertite.
Per riassumere, cambiare l'orologio per accettare un certificato scaduto può "funzionare", ma non "funzionare bene". Questo, ovviamente, dipende dalla clemenza del tuo browser per quanto riguarda la convalida dei certificati, quindi il miglior modo di agire per il tuo particolare problema è testarlo . Crea la tua CA, emetti un certificato server con una data di scadenza nel passato, installa la CA come una CA affidabile nel tuo browser, imposta l'orologio indietro, connettiti a un server di test che utilizza il certificato di prova scaduto e vedi cosa succede. Ad ogni modo, questo non sarebbe un setup ragionevole per gli usi di produzione (chiedere ai clienti di impostare il loro orologio indietro è un po ', diciamo, commercialmente non ottimale).
I certificati SSL hanno lo scopo principale di attestare a un cliente che si sono connessi al sito corretto che stavano cercando di raggiungere. Spetta al cliente controllare l'ora in cui il certificato è valido contro il proprio tempo. Dal momento che il tuo tempo è finito in anticipo di un mese, probabilmente hai visitato un sito che stava per essere sostituito e che il tuo browser lo riteneva non valido. Se hai cambiato l'ora sul server, il server potrebbe pensarlo ok, ma qualsiasi client che si connette avrebbe l'ora effettiva e rifiuterebbe il certificato come non aggiornato.
Se modifichi l'orario di sistema, il certificato sarà considerato non valido se il browser o il software che stai utilizzando utilizza l'ora locale del sistema come sorgente del tempo. Ci sono alcuni software che usano sistemi remoti per le fonti di tempo e quindi non sono influenzati da un cambio orario locale, tuttavia questo è raro.
La ragione per cui questo è fatto è che i certificati possono essere violati tramite una forza bruta, ma ciò richiede tempo e cicli di CPU sostanziali. Solitamente viene visualizzato un intervallo di 1 anno per i certificati SSL pubblici, ma possono raggiungere i 4 anni con la maggior parte dei grandi fornitori (VeriSign, Thawte, ecc.). La teoria è che è "impossibile" per la chiave privata associata alla chiave pubblica (chiave pubblica = certificato) per ottenere la forza bruta entro 1 anno. Pertanto, le autorità di certificazione si astengono dal dire che questo certificato è valido per sempre, perché in 10 anni è molto probabile che questo possa essere incrinato perché 1 - 10 anni sono passati e 2 - si presume che le CPU saranno molto più potenti col passare del tempo (legge di Moore / legge di Rose).
Per rispondere alla tua domanda più direttamente - sì, il certificato funzionerebbe "ok", se per ok intendi che crittograferà le tue comunicazioni, purché tu accetti il rischio (rischio = avvertimento) che questo non è un legittimo server (Possibile rappresentazione o intercettazione della comunicazione / Uomo nel mezzo). Se cambi l'orologio all'ora corretta e non ci sono avvisi (e non hai detto di consentire l'eccezione nel browser in modo permanente), puoi essere ragionevolmente sicuro di non essere vittima di un attacco. Ciò che non è garantito è la porzione "autenticazione" di SSL, in cui il server è garantito dall'autorità di certificazione, se è necessario fare clic su "accetta".
Se vuoi maggiori dettagli per favore fammi sapere. Non sono sicuro di cos'altro ti interessi.
Come suggerito dalle risposte precedenti, è stata eseguita una simulazione con diverse impostazioni dell'ora. (Avanzato l'orologio locale prima della data di scadenza del certificato). Eccoci!
Leggi altre domande sui tag tls certificates attack-prevention