Certificato di sicurezza non valido del sito Web

3

Su una LAN domestica ho riscontrato questo errore sia in Linux Firefox (un ubuntu vmware VM su Win7) che dal mio browser del telefono Android da un sito di shopping durante il processo di checkout alcuni giorni fa. Ciò potrebbe indicare una sorta di compromissione MITM (ad esempio nel router LAN)? Compromesso DNS? Potrebbe anche essere una delle macchine della rete di consegna del contenuto (CDN) che serve a configurare il contenuto di PayPal in modo errato o a essere compromesso?

This Connection is Untrusted

You have asked Firefox to connect securely to www.paypal.com, but we can't confirm that your connection is secure.
Normally, when you try to connect securely, sites will present trusted identification to prove that you are going to the right place. However, this site's identity can't be verified.

What Should I Do?
If you usually connect to this site without problems, this error could mean that someone is trying to impersonate the site, and you shouldn't continue.
This site uses HTTP Strict Transport Security (HSTS) to specify that Firefox only connect to it securely. As a result, it is not possible to add an exception for this certificate.

www.paypal.com uses an invalid security certificate.

The certificate is only valid for the following names:
google.com, *.2mdn.net, *.android.com, *.appengine.google.com (many more names...)

Esecuzione di nslookup sulla macchina Linux

@ 01:00

nslookup www.paypal.com
Server: 127.0.1.1
Address: 127.0.1.1#53

Non-authoritative answer:
Name: www.paypal.com
Address: 216.58.217.194

Quindi @ 1: 45

nslookup www.paypal.com
Server: 127.0.1.1
Address: 127.0.1.1#53

Non-authoritative answer:
www.paypal.com canonical name = www.paypal.com.akadns.net.
www.paypal.com.akadns.net canonical name = ppdirect.paypal.com.akadns.net.
ppdirect.paypal.com.akadns.net canonical name = wlb.paypal.com.akadns.net.
wlb.paypal.com.akadns.net canonical name = www.paypal.com.edgekey.net.
www.paypal.com.edgekey.net canonical name = e3694.a.akamaiedge.net.
Name: e3694.a.akamaiedge.net
Address: 184.86.122.156

Quale sarebbe un piano di riparazione? Sostituire il router LAN di casa? Anche tutti i dispositivi sulla LAN domestica sarebbero sospetti?

    
posta John J 15.10.2015 - 08:47
fonte

1 risposta

3

Questo è davvero brutto. Qualcuno ti ha consegnato questo falso certificato nell'intenzione di poter decifrare la tua connessione HTTPS. Poiché è paypal.com, è molto probabile che l'attaccante desideri acquisire le tue credenziali. Ciò può comportare il saccheggio del tuo conto bancario, quindi è meglio non fidarti di questa connessione.

È difficile dire in quale fase della connessione sia stato eseguito l'attacco MITM o se fosse comunque un MITM. Potrebbe anche essere un malware che ha installato un proxy sul tuo host che sostituisce i certificati reali con quelli falsi.

Gli attacchi MITM possono essere eseguiti facilmente nella LAN, ma possono anche essere basati sulla manipolazione del router dell'utente o del tuo ISP.

    
risposta data 15.10.2015 - 09:38
fonte

Leggi altre domande sui tag