Come può essere utilizzato un certificato HTTPS "alternativo" o duplicato in un attacco?

4

Ispirato da vecchia domanda di PulpSpy , sto cercando di pensare se si tratta di una debolezza significativa nel sistema dell'Autorità di certificazione. Ecco i metodi di attacco che penso funzionerebbero: ti preghiamo di commentare, criticare e aggiungere altro a cui puoi pensare:

  1. Ottieni una CA meno affidabile per emettere un certificato HTTPS di base. Manipola le richieste DNS della destinazione per indirizzare il traffico verso un server che controlli, il che darà l'aspetto di una connessione HTTPS "valida" (in assenza di ulteriori precauzioni, ad esempio Certificate Patrol ).

  2. Cuci un dominio attivo, ottieni una CA rispettabile per emettere un certificato EV. L'esistenza del certificato EV può essere utilizzata per ritardare / impedire al proprietario "vero" di riprendere il controllo, poiché i cecchini del dominio ora hanno una migliore prova di proprietà.

I penso DNSSEC proteggerà dal punto 1 nei casi in cui i trust ancore vengono distribuiti tramite browser (ad esempio Firefox) e l'installatore del browser stesso è firmato. Il problema ovvio è che non molti domini sono abilitati per DNSSEC. (Contrappunto: molti domini importanti sono abilitati per DNSSEC).

Esistono altri metodi di attacco?

    
posta scuzzy-delta 14.01.2013 - 02:00
fonte

2 risposte

3

Per SSL stesso, un certificato fasullo può solo servire come un modo per eseguire un server falso. Ciò richiede l'intercettazione delle connessioni da alcuni client al server vero e il reindirizzamento sul server. Manipolare il DNS è solo un modo per farlo (certamente, spesso il più semplice) e DNSSEC ha lo scopo di proteggerlo (dal momento che DNSSEC si occupa di "proteggere" con le firme ciò che i server DNS restituiscono). Se l'attaccante controlla un router / firewall tra il client e il server, può reindirizzare tutto il traffico che desidera senza dover modificare nulla nel DNS.

Il tuo punto # 2 è più un Denial-of-Service di qualsiasi altra cosa. Evidenzia che quando vengono messe in atto procedure di autenticazione più pesanti (ad esempio, le procedure che vengono eseguite prima di emettere certificati EV), rende gli incidenti meno probabili (più difficili per l'attaccante) ma anche più profondi (il recupero potrebbe essere più lungo). Questo è un punto che deve essere preso in considerazione nell'intero compromesso della sicurezza.

    
risposta data 14.01.2013 - 13:38
fonte
0

DNSSEC non protegge da questo. DNSSEC protegge semplicemente le risposte DNS, quindi non possono essere falsificate facilmente. Ma poiché il DNS può essere considerato affidabile con DNSSEC, utilizzando DANE è possibile memorizzare un hash del certificato nel DNS.

Purtroppo, al momento quasi nessun cliente lo controlla. Per la maggior parte dei Browser esiste un Addon che controlla i record DNSSEC / DANE.

DANE consente al proprietario del dominio di specificare uno (o più) certificati per il dominio o di limitare la CA da cui devono essere accettati i certificati per il dominio. Con il supporto completo del browser, significherebbe che non è necessaria la CA e DNSSEC / DANE è sufficiente per verificare il certificato.

Per la tua seconda domanda: 1. dovresti fare tutte le domande separatamente su questo sito, 2. Esistono serie di regole specifiche relative alle controversie sui domini, a seconda del TLD, del paese, ecc. Non sono a conoscenza del fatto che il possesso di un certificato EV avrebbe alcun significato in nessuno di essi, ma potrebbe essere.

    
risposta data 04.11.2015 - 11:21
fonte

Leggi altre domande sui tag