Verifica la validità del certificato SSL sulla rete pubblica?

Naviga le tue risposte
4

Quindi la mia azienda ha appena iniziato a rilasciare i propri certificati SSL, quindi i siti HTTPS ora si mostrano sicuri, ma se si controlla il certificato utilizzato la CA radice siamo noi, non chiunque sia il sito utilizzato.

Questo mi ha fatto pensare, se fossi su una rete pubblica da qualche parte, potrebbero rilasciare il loro certificato facendolo sembrare attendibile, e quindi dandomi un lucchetto verde sul mio sito della banca, per esempio?

Dopo aver digitato questo messaggio, credo che potrei conoscere la risposta alla mia stessa domanda ... sembra attendibile a causa di una politica di gruppo che dice al PC di fidarsi del certificato? Quindi i telefoni cellulari (oi dispositivi che non sono collegati ad AD) direbbero che ogni sito HTTPS non è sicuro?

Se ciò dovesse accadere su una rete pubblica, come garantiresti la sicurezza? Una VPN ti proteggerà ancora o sarebbe in grado di intercettare anche quella?

    
posta Lewis Lebentz 31.01.2016 - 22:33
fonte

2 risposte

2

This got me thinking, if I was on a public network somewhere, could they issue their own certificate making it appear trusted, and therefore giving me a green padlock on my bank site for example?

Sì.

does it appear trusted because of a group policy telling the PC to trust the cert?

Sì. (O qualche altro meccanismo che dice al PC di fidarsi del certificato. Per impostazione predefinita non sarà considerato attendibile)

So mobile phones (or devices that aren't joined to AD) would say every HTTPS site is insecure?

Sì.

If this were to happen on a public network, how would you ensure safety?

Se non vuoi che la tua azienda sia in grado di intercettare il tuo traffico, non utilizzare la loro attrezzatura e non installare il loro certificato di origine sulla tua attrezzatura.

Would a VPN still protect you, or would they be able to intercept that too?

Dipende dalla VPN.

How can a public network install a cert on your computer?

Non può, a meno che non usi un qualche tipo di exploit (simile al modo in cui i virus si propagano). È molto meno probabile che accada ora rispetto a prima.

How would a VPN protect against a rogue cert once it's installed?

Non fidandosi del certificato. Niente forza un programma per fidarsi di tutti i certificati installati.

    
risposta data 01.02.2016 - 01:47
fonte
2

Non è realmente correlato a Active Directory o Criteri di gruppo. Questo è solo un modo per farlo.

Se qualcuno può installare il proprio certificato di base nei propri negozi fidati, può emettere falsi certificati e tutto sembra legittimo. Vedi Charles Proxy .

Un uso legittimo di questo è consentire a strumenti come Snort di monitorare il traffico crittografato su una rete.

Alcune applicazioni pongono il loro certificato e non usano l'archivio fidato (Chrome lo fa con i certificati di Google).

BYOD o aspettati che la tua azienda decifri il tuo traffico.

    
risposta data 01.02.2016 - 03:14
fonte

Leggi altre domande sui tag

L'installazione di un'interfaccia grafica utente in un server costituirà un problema di sicurezza? Come "consegnare" un attacco clickjacking?