Come può LetsEncrypt e altri servizi simili verificare la proprietà di un dominio su http non sicuro? [duplicare]

Question

Come può LetsEncrypt e altri servizi simili verificare la proprietà di un dominio su http non sicuro? [duplicare]

#1 da (3 voti)

5

LetsEncrypt ti consente di verificare la proprietà del tuo dominio utilizzando la cosa .well-known , ma dal momento che il sito è http prima del rilascio del primo certificato, non è possibile che qualcuno faccia un attacco MITM per dare a letsencrypt la risposta che desidera senza possedere effettivamente il dominio? Sono abbastanza sicuro che le persone di LE sappiano cosa stanno facendo, voglio solo sapere come funziona.

EDIT:

Per chiarire, sto parlando di spoofing dell'intero processo, non solo di indovinare il nonce utilizzato dopo che un legittimo proprietario ha avviato il processo. Sto parlando di un utente malintenzionato che esegue certbot e sta facendo il tutto.

http tls letsencrypt

posta markasoftware 04.05.2017 - 06:02

fonte

1 risposta

Leggi altre domande sui tag http tls letsencrypt

Errore TLSv1 dopo aver ricevuto il certificato del server Attacco al dizionario conoscendo il codice

score 3 · Answer 1

couldn't somebody do an MITM attack to give letsencrypt the response it wants without actually owning the domain?

Sì, qualcuno che conosca la risposta Let's Encrypt si aspetta possa fornirlo. Tuttavia, la risposta viene creata utilizzando una chiave privata nota solo al proprietario del server in cui la chiave pubblica corrispondente è conosciuta da Let's Encrypt. Quindi è praticamente impossibile per un uomo nel mezzo indovinare la risposta corretta.

Per maggiori dettagli vedi How it Works di Let's Encrypt che include la seguente descrizione:

Along with the challenges, the Let’s Encrypt CA also provides a nonce that the agent must sign with its private key pair to prove that it controls the key pair.

Naturalmente, se l'utente malintenzionato controlla completamente l'accesso al dominio, può creare un nuovo account con Let's Encrypt e ottenere un certificato per questo dominio. Ma in questo caso l'attaccante è essenzialmente proprietario del dominio non solo dal punto di vista di Let's Encrypt ma anche di terze parti.