Quali minacce possono derivare da un certificato obsoleto in una LAN privata

Naviga le tue risposte
4

Nella nostra azienda, utilizziamo una LAN "circa 1.000 utenti", servita con server interni tra cui e-mail, DNS e molti server Web.
Ogni volta che accedo a uno qualsiasi dei siti di rete, ricevo un messaggio relativo a un certificato obsoleto. Quando ho parlato con il loro amministratore di rete, ha detto che è OK aggiungere un'eccezione al mio browser e andare avanti.

Sono a conoscenza di potenziali attacchi MITM, ma come utente normale, che cosa dovrei fare per proteggere la mia privacy, specialmente se molti di quei siti sono per attività finanziarie.

Grazie.

    
posta Emadeddin 05.11.2015 - 11:03
fonte

2 risposte

1

Un certificato X.509 ha diversi usi nel contesto della navigazione web, tra cui l'abilità:

  • per il client (utente) per verificare con un'entità "attendibile" che effettivamente rilascino quel certificato sul server che lo richiede. Questo controllo è abbastanza soggettivo (e in qualche modo inferiore per Certificati di convalida estesi ) ma non c'è niente di meglio adesso.
  • per il server per controllare il client di connessione. Questo è usato raramente per la navigazione "umana" ma è comune (o almeno più usato) per la comunicazione da server a server

Puoi utilizzare uno di essi o nessuno - ma quello che sarà sempre presente è un tunnel sicuro e crittografato tra il tuo browser e il server di destinazione.

Ciò significa che se sai in qualche modo che il server che stai bersagliando è quello giusto, puoi scartare gli avvisi dal browser. Ti informano solo che ciò a cui ti connetti non è quello che viene affermato dal certificato, o che questa informazione non è stata verificata da una terza parte (entrambi ti fidano). La sicurezza tecnica della connessione (crittografia) non è influenzata.

La scadenza di un certificato (o l'inesattezza di altre informazioni che detiene) invalida la sua "attendibilità" ma non la parte di crittografia. La tua connessione è ancora sicura. Se il certificato in sé non era sicuro (temperato con per esempio), allora non potevi impostare alcuna connessione.

    
risposta data 06.11.2015 - 14:36
fonte
1

Un certificato scaduto non significa necessariamente che è pericoloso. Per me, ci sono tre ragioni principali per avere date di scadenza sui certificati:

  1. Se un attaccante stava cercando di infrangere la firma sul certificato e fare un certificato falso, è il tempo minimo di cui hanno bisogno se gettano un sacco di soldi per rompere questo.

  2. Per evitare che le dimensioni del database aumentino in maniera incontrollata, la maggior parte delle Autorità di certificazione (CA) non tiene traccia informazioni di revoca per certificati scaduti. Ciò significa che se il certificato fallisce, non c'è modo che tu o il tuo browser lo scopriate.

  3. Quindi la CA che ha emesso il certificato può addebitare alla tua azienda un nuovo certificato ogni anno.

Bottom Line: a meno che i server interni della tua azienda non siano un grande obiettivo per gli hacker, sei probabilmente ok per continuare a fidarti del certificato scaduto. Detto questo, prima di aggiungere un'eccezione, fare due diligence e guardare il certificato nel browser e assicurarsi che 1) il sito o il sever sia emesso per abbia un senso per la propria azienda, e 2) il CA che è stato emesso da è lo stesso utilizzato dalla tua azienda (chiedi al tuo personale IT).

    
risposta data 06.11.2015 - 15:42
fonte

Leggi altre domande sui tag

Come funziona la verifica dell'identità di Telegram? Scelte di hash del gestore di password (scrypt + sha256)