Certificati autofirmati per https

3

Dove lavoro, attualmente per i siti interni, vengono utilizzati i certificati autofirmati. In Firefox, vengono visualizzate le informazioni relative al certificato:

site domain: example.com
Owner: Site doesn't supply owner info
verified by: company name

Sono curioso di sapere quanto siano vulnerabili i certificati autofirmati per un uomo nel mezzo dell'attacco, come la striscia SSL. L'ovvia vulnerabilità, posso pensare, è che gli utenti sarebbero abituati a fidarsi del certificato, quindi una striscia SSL non produrrebbe alcun nuovo avviso in Firefox (correggimi se sbaglio). Anche in un attacco uomo centrale, è possibile per l'attaccante visualizzare lo stesso certificato esatto per gli utenti finali (verificato anche da: lo stesso nome dell'azienda)?

    
posta marcwho 09.04.2013 - 15:37
fonte

3 risposte

10

Invece di utilizzare certificati autofirmati per i siti interni, suggerisco di impostare una CA interna e usarla per firmare le richieste di certificati. È possibile importare il certificato della CA in ogni browser utilizzato internamente (manualmente o tramite meccanismi automatici di distribuzione) e questo dovrebbe essere altrettanto valido in termini di sicurezza rispetto all'utilizzo dei certificati emessi da un'autorità di certificazione principale, a condizione che si adottino misure adeguate per proteggere il sistema utilizzato per la firma delle richieste di certificato.

Questa è una soluzione molto migliore rispetto ai certificati autofirmati e, a seconda dell'ambiente, il controller di dominio potrebbe già offrire servizi CA (MS Active Directory, FreeIPA, ecc.).

    
risposta data 09.04.2013 - 16:19
fonte
4

Un certificato autofirmato è un certificato che non è verificabile in quanto è firmato da una CA attendibile. Quindi devi essere in grado di verificare che questo sia il certificato "giusto" con qualche altro mezzo. In caso contrario, un utente malintenzionato potrebbe reindirizzare la connessione a un server falso (con un certificato autofirmato un altro ) e da lì eseguire un attacco man-in-the-middle .

Se puoi assicurarti una volta che il certificato autofirmato è corretto, puoi installarlo nel "trusted store" del tuo browser, che garantirà la sicurezza per tutte le connessioni successive (* ). In larga misura, questo imita il solito SSH modello di sicurezza, che gli amministratori di sistema di Unix sono abbastanza contenti. Un modo possibile, per la prima connessione, per verificare che il certificato inviato dal server sia quello giusto, è chiedere al browser di visualizzare il certificato "thumbprint" (un valore hash calcolato sull'intero certificato) e telefonare al server previsto sysadmin per il confronto con l'identificazione personale di riferimento.

(*) Nota il punto delicato: la sicurezza è assicurata finché mai non accetti un certificato autofirmato non verificato - fai attenzione agli avvertimenti del browser!

    
risposta data 09.04.2013 - 15:49
fonte
2

Se aggiungi il certificato autofirmato all'archivio dei browser attendibili, un certificato autofirmato è a tutti gli effetti identico a un certificato firmato dall'autorità di certificazione.

    
risposta data 09.04.2013 - 15:40
fonte

Leggi altre domande sui tag