Esistono certificati SSL su richiesta?

Naviga le tue risposte
3

Alcuni giorni fa, ho visitato un sito Web protetto SSL.

Da quando Safari si è lamentato del certificato SSL, ho fatto una breve ispezione:

The certificate was issued by GoDaddy in just the minute I visited the site.

Anche se questo potrebbe essere stato un caso, non ci credo.

Quindi esistono CA, che emettono certificati SSL su richiesta ? Voglio dire, ogni volta che un utente carica il primo URL di un sito?

Mai sentito parlare di una CA simile. E non posso credere, che una CA possa anche generare certificati SSL in così alta frequenza.

In questo contesto, la mia altra domanda potrebbe essere di interesse.

    
posta SteAp 14.10.2013 - 23:42
fonte

3 risposte

7

Non c'è nulla di tecnologicamente difficile nell'emettere i certificati. È solo un po 'di codifica e una firma; un PC di base può farlo mille volte al secondo . Mentre CA normalmente non concede l'emissione di certificati su richiesta, non vi è alcuna barriera tecnica ineludibile.

La spiegazione più plausibile è che tu stia attualmente connettendo tramite un proxy che fa un man-in-the -middle "attack" e genera realmente un certificato falso su richiesta. Non è un attacco vero nel senso di un truffatore che cerca di prenderti in giro; più un attacco "istituzionale" da parte del sysadmin locale, eseguendo un prodotto come quello . Questo sta diventando popolare negli ambienti corporativi.

Per verificare se ciò si verifica, un semplice trucco è modificare la data di sistema . Infatti, un enigma dei proxy MitM è che devono generare un certificato che verrà accettato dal client, il che, in particolare, implica che il certificato deve essere tale che l'ora corrente come si crede sia dal client , rientra nell'intervallo di validità. Una proprietà spesso trascurata di SSL è che sia il client che il server si raccontano a vicenda la propria nozione del tempo corrente, nel fasi iniziali della procedura di handshake. Ciò consente al server di sapere come è impostato l'orologio del client. Se si modifica la data e l'ora correnti, ad esempio, la settimana scorsa, e il certificato del server segue tale modifica (chiudere tutte le finestre del browser e riavviarlo per garantire che venga utilizzata una nuova sessione SSL), il certificato del server è stato sicuramente prodotto su richiesta, perché non esiste un altro modo in cui il certificato si adegui a un orologio del client molto selvaggio.

Dovrai anche vedere quale fiducia continua (aka "certificato radice") la catena del server sale. Se è attivo un MitM istituzionale sul sistema, la catena passerà a una CA radice "canaglia" corrispondente. Ciò che dovrebbe accadere con i certificati di GoDaddy è descritto qui (ovviamente, il MitM potrebbe teoricamente altera anche quella pagina, come la vedi tu, ma se c'è una discrepanza tra ciò che dice GoDaddy e ciò che osservi, allora è dimostrato che c'è qualche fallo continuo).

    
risposta data 15.10.2013 - 15:11
fonte
4

L'emissione di certificati SSL su richiesta è possibile , ma non comune nell'uso reale. GoDaddy e poche altre aziende si trovano in una posizione unica per emettere certificati su richiesta, in quanto possono firmare il certificato.

Ma vale la pena sottolineare che non ci sono ragioni commerciali significative per farlo, ma ci sarebbe un costo significativo sia in termini di sicurezza che di affidabilità. Non ha fatto. In effetti, i certificati SSL GoDaddy che vedo ora sulla loro home page sono stati emessi nel 2012.

D'altro canto, i certificati SSL on-demand sono emessi in casi reali da server proxy che eseguono l'intercettazione man-in-the-middle del traffico SSL. Fondamentalmente, ogni volta che visiti un sito, creano un nuovo certificato che mappa il sito che intendi visitare. Il nome sul certificato corrisponde all'URL nel tuo browser, quindi il certificato è accettato anche se non è realmente quello inviato dal server di destinazione.

Questi proxy devono avere il proprio certificato di firma installato sul tuo computer, altrimenti questo intero schema non funzionerà.

    
risposta data 15.10.2013 - 00:23
fonte
3

È improbabile che una CA come GoDaddy ti rilascia un certificato SSL "su richiesta ogni volta che viene caricato il sito SSL". Ciò significherebbe che il sito in questione ha la chiave privata CA (per la firma del certificato), altri scenari potrebbero comportare ritardi eccessivi durante la creazione della sessione SSL.

Tecnicamente è possibile generare un certificato SSL quando viene avviata una nuova sessione SSL, questo è fatto da Webscarab strumento durante il proxy delle richieste SSL. Affinché questo certificato generato al volo venga considerato affidabile dal browser, è necessario aggiungere il certificato CA di Webscarab all'elenco CA attendibile.

Nel tuo caso, è probabilmente una coincidenza che il sysadmin abbia aggiornato il certificato appena prima di aprirlo. Quando il tuo orologio non è sincronizzato, il tempo di validità "Not Before" potrebbe colpirti. Per questo motivo, la CA che uso imposta leggermente il tempo nel passato. Hai controllato se il tuo orologio è corretto? Forse hai bisogno di una nuova batteria RTC e devi abilitare NTP.

Un'altra spiegazione è che la chiave (sub-) CA è stata compromessa e che qualcuno sta abusando di questo per eseguire un attacco MitM.

    
risposta data 15.10.2013 - 00:23
fonte

Leggi altre domande sui tag

Come posso recuperare da un sito di WordPress compromesso e prevenire futuri attacchi? La blacklisting degli indirizzi IP è una perdita di tempo?