Come può LetsEncrypt e altri servizi simili verificare la proprietà di un dominio su http non sicuro? [duplicare]

5

LetsEncrypt ti consente di verificare la proprietà del tuo dominio utilizzando la cosa .well-known , ma dal momento che il sito è http prima del rilascio del primo certificato, non è possibile che qualcuno faccia un attacco MITM per dare a letsencrypt la risposta che desidera senza possedere effettivamente il dominio? Sono abbastanza sicuro che le persone di LE sappiano cosa stanno facendo, voglio solo sapere come funziona.

EDIT:

Per chiarire, sto parlando di spoofing dell'intero processo, non solo di indovinare il nonce utilizzato dopo che un legittimo proprietario ha avviato il processo. Sto parlando di un utente malintenzionato che esegue certbot e sta facendo il tutto.

    
posta markasoftware 04.05.2017 - 06:02
fonte

1 risposta

3

couldn't somebody do an MITM attack to give letsencrypt the response it wants without actually owning the domain?

Sì, qualcuno che conosca la risposta Let's Encrypt si aspetta possa fornirlo. Tuttavia, la risposta viene creata utilizzando una chiave privata nota solo al proprietario del server in cui la chiave pubblica corrispondente è conosciuta da Let's Encrypt. Quindi è praticamente impossibile per un uomo nel mezzo indovinare la risposta corretta.

Per maggiori dettagli vedi How it Works di Let's Encrypt che include la seguente descrizione:

Along with the challenges, the Let’s Encrypt CA also provides a nonce that the agent must sign with its private key pair to prove that it controls the key pair.

Naturalmente, se l'utente malintenzionato controlla completamente l'accesso al dominio, può creare un nuovo account con Let's Encrypt e ottenere un certificato per questo dominio. Ma in questo caso l'attaccante è essenzialmente proprietario del dominio non solo dal punto di vista di Let's Encrypt ma anche di terze parti.

    
risposta data 04.05.2017 - 06:50
fonte

Leggi altre domande sui tag