Se la tua azienda / università richiede l'installazione di certificati di root che ti proteggono dagli attacchi man in the middle?

Naviga le tue risposte
3

Diciamo che sono su una rete universitaria (o aziendale) che richiede l'installazione di un certificato di origine per connettersi al loro sito web. Ora diciamo che ti fidi di queste persone ma non di qualcun altro. C'è qualcosa per proteggerti da qualcosa che non va nel certificato del sito web con cui ti connetti? Ad esempio a causa di un uomo nel mezzo di attacco.

Quindi visivamente è così che "dovrebbe" essere 

      cert1               cert 2 
server -> company network  ->  user

ma ciò che lo impedisce: 

         cert 1               made up cert                  cert 2
   server ->  man in the middle     ->      company network -> user

dopo tutto sembra che la rete aziendale non sia in grado di giudicare correttamente se un falso certificato debba essere considerato attendibile o meno (potrebbe essere che l'utente sia il proprietario della società e abbia autofirmato o che questa sia una banca che dovrebbe essere certificato da un'autorità fidata e ora non lo è)?

    
posta Thijser 16.02.2015 - 12:10
fonte

2 risposte

3

Supponendo che non siano malvagi, il loro firewall MITM avrà generalmente lo stesso set di certificati di root attendibili del sistema operativo, quindi qualsiasi attacco reale MITM o certificati non validi verrà rifiutato dal loro firewall MITM.

Non è possibile "aggiungere" il loro certificato alla fine. Genereranno direttamente un nuovo certificato per il sito Web di destinazione firmato con il loro certificato di origine.

    
risposta data 05.03.2015 - 10:24
fonte
2

In questo caso, cert 1 è noto come certificato di origine. Lo scarichi e lo installi dal sito web dell'università. Il certificato del server è cert 2, che è quello che il sito web dell'università presenta al tuo browser ad ogni visita. cert 1 è usato per firmare cert 2.

Quando ti connetti al server universitario tramite SSL, ti verrà presentato cert 2 e il tuo browser verificherà la sua autenticità. Se tu fossi un uomo-in-the-middled, ti verrebbe presentato un certificato composto che non è firmato da cert 1. Pertanto, il tuo browser presenterà un avviso che il certificato del server non è attendibile. Se si sceglie di procedere, quindi non è un problema con l'architettura, ma con l'utente.

    
risposta data 16.02.2015 - 14:22
fonte

Leggi altre domande sui tag

Prevenzione delle frodi con carta di credito - Perché le cose non sono semplici? Ubuntu / Debian Va bene usare un account più sudicio come il mio principale su una workstation?