Chrome: guarda i certificati https modificati

6

Ho letto molto sulla sicurezza di https e possibili attacchi MITM ultimamente. Per me sembra che ci sia solo un modo possibile per fare un attacco https-MITM: quando un MITM scambia il certificato https spedito e il mio computer si fida della CA di firma.

Quindi mi chiedo come sia possibile per me, come utente, rimanere al sicuro? Ho letto su Certificate Patrol per Firefox: link ma sfortunatamente sto usando Chrome e inoltre l'estensione è piuttosto vecchia (dal 2011). C'è qualcosa di simile per Chrome? Mi piace l'idea di una sorta di "database" di certificati in modo da ottenere un avviso non appena il certificato cambia (anche se è cambiato con uno nuovo che Mi fido).

Ciò produrrebbe un buon livello di sicurezza?

Grazie!

    
posta tim 01.01.2016 - 19:26
fonte

2 risposte

2

Is there anything like this for Chrome?

No. Al momento, Chrome Extensions non ha modo di accedere alle informazioni sui certificati TLS utilizzati e una proposta per aggiungere questa funzionalità è stato rifiutato nel 2015 .

Would this yield a good security layer?

Probabilmente no.

Chiariamo qui il modello delle minacce: sei preoccupato per uno scenario in cui "un MITM scambia il certificato https spedito e il mio computer si fida della CA di firma". Ciò richiederebbe all'utente malintenzionato di ottenere un certificato valido da un'autorità di certificazione attendibile per un dominio di cui non è proprietario.

Mentre CA hanno erroneamente emesso certificati per le entità sbagliate in passato ( Comodo , WoSign , Symantec ), questi sono piuttosto rari gli eventi e le CA che non rispettano coerentemente i requisiti di convalida nei requisiti di base hanno i certificati radice diffidati dai fornitori di browser. (Questo è successo a WoSign e sta attualmente accadendo a Symantec.)

Inoltre, il vantaggio in termini di sicurezza offerto da questo tipo di avvisi dipende interamente dalla risposta a un certificato modificato. I siti cambiano i loro certificati tutto il tempo (spesso con la stessa frequenza di una volta ogni due mesi, come nel caso di Let Crittografare i certificati gestiti da Certbot), quindi la stragrande maggioranza delle volte che appare questo avviso sarà solo un falso allarme. Come pensate di distinguere questi falsi allarmi da un attacco legittimo? A meno che tu non abbia un modo fuori banda per verificare se il nuovo certificato che stai visualizzando è legittimo, un avviso non farà molto.

    
risposta data 24.10.2017 - 22:02
fonte
0

Triste, ma no. È possibile utilizzare l'estensione Netcraft per evitare i siti Web di phishing o utilizzare ESET Smart Security, in quanto il modulo rileva i certificati SSL non attendibili. Ma Chrome ha più simile all'estensione di Certificate Patrol.

    
risposta data 25.08.2017 - 16:51
fonte

Leggi altre domande sui tag