Il seguente flusso di dati sembra sicuro per te?

4

Capisco il concetto base di SSL ma forse mi manca il punto. Per favore, qualcuno potrebbe dare un'occhiata alla seguente parte di un log di test su un server e dirmi se sembra sicuro. Il mio timore è che, sebbene il callback del certificato restituisca "true", è possibile vedere che esso riporta lo stato della politica RemoteCertificateNameMismatch.RemoteCertificateChainErrors e menziona la radice non attendibile.

1:07:04 AM: SSL: secure.newsfarm.ams2.highwinds-media.com:   Certificate: [email protected], CN=*.sslusenet.com, OU=sslusenet.com, O=sslusenet.com, L=Phoenix, S=AZ, C=US
9/7/2012 1:07:04 AM: SSL: secure.newsfarm.ams2.highwinds-media.com:   Policy status: RemoteCertificateNameMismatch, RemoteCertificateChainErrors
9/7/2012 1:07:04 AM: SSL: secure.newsfarm.ams2.highwinds-media.com:   Chain status: UntrustedRoot
9/7/2012 1:07:04 AM: SSL: CertificateCallback returns True
9/7/2012 1:07:04 AM: SSL: secure.newsfarm.ams2.highwinds-media.com:   KeyExchange: RsaKeyX (1024 bits)
9/7/2012 1:07:04 AM: SSL: secure.newsfarm.ams2.highwinds-media.com:   Cipher: Aes128 (128 bits)
9/7/2012 1:07:04 AM: Nntp: < highwinds: 200 Welcome to Virgin Media
9/7/2012 1:07:04 AM: Nntp: > highwinds: AUTHINFO USER bnv *******@binverse.com
9/7/2012 1:07:05 AM: Nntp: < highwinds: 381 PASS required
9/7/2012 1:07:05 AM: Nntp: > highwinds: AUTHINFO PASS ***
9/7/2012 1:07:05 AM: Nntp: < highwinds: 281 Welcome to Binverse.com (No Posting)

Le considerazioni sulla sicurezza sono ciò che la funzione di callback sta verificando o c'è una corrispondenza mancata di un nome da una radice non attendibile con errori di catena e la richiamata restituisce "true" comunque indipendentemente?

    
posta Simon 12.09.2012 - 23:12
fonte

3 risposte

2

Sebbene i file di log che mostri siano relativamente oscuri, nelle prime righe si possono vedere alcune cose di pesce:

  • Apparentemente, il server che è stato contattato con il nome secure.newsfarm.ams2.highwinds-media.com risponde inviando un certificato che è inteso per *.sslusenet.com , che non corrisponde al nome del server.

  • La parte UntrustedRoot è indicativa di una catena di certificati che inizia con un certificato di root non affidabile, cioè una catena che non prova nulla al client.

Quindi è come bypassare un avviso di sicurezza su un sito Web HTTPS. Questo è vulnerabile agli aggressori attivi.

    
risposta data 13.09.2012 - 13:08
fonte
1

Il log è stato preso dalla diagnosi degli errori all'interno del client. Ha verificato su rotex e ha trovato questo:

Questo account avrebbe fatto la differenza nel nome: 69.16.160.0/21 Puregig AS11588

Nome record di base IP Reverse Route AS ns2.sslusenet.com a 69.16.163.16 stati Uniti (nessuno) 69.16.160.0/21 Puregig AS11588 HIGHWINDS Network Group, Inc.

Perché dovrebbe ancora tornare "vero" se c'è stato un problema. Se quello che dici è vero allora ogni client usenet che si connette a un server è fondamentalmente imperfetto in termini di SSL?

    
risposta data 13.09.2012 - 19:00
fonte
0

Importa solo se il client si fida della root.

Qualunque cosa tu stia usando per catturare il traffico non è configurato per fidarsi della root. Ma il vero client, che presumibilmente è un browser web, probabilmente lo fa.

Se la catena alla radice è valida e la radice è attendibile, il client la considererà attendibile.

Ma la tua vera domanda: il flusso di dati è sicuro?

Se conosci metti quel certificato e la chiave su quel server e sai che non è stato compromesso , quindi è sicuro se la radice è affidabile o meno.

Se tu non l'hai messo lì da te allora è sicuro solo quanto la tua definizione di "sicuro". Devi fidarti di qualcun altro per averlo configurato in modo sicuro. Si suppone che un'Autorità di certificazione radice ti dia questa garanzia. Tu (personalmente, non la configurazione del computer) ti fidi dell'autorità di certificazione?

    
risposta data 13.09.2012 - 10:25
fonte

Leggi altre domande sui tag