Cosa fare in caso di un certificato debole sul sito web della mia banca?

2

Il sito web della mia banca, pur avendo sempre un "blocco verde" nella barra degli indirizzi, non ha più questo. Ho quindi chiamato la banca con un numero di telefono che ho trovato sullo stesso sito web e ho chiesto che l'operatore leggesse il numero di serie del certificato. Ha rifiutato di farlo e ha insistito che le avrei letto il numero di serie e lei l'avrebbe verificata.

L'ho negato e le ho spiegato che non posso fidarmi del suo numero di telefono. Pur avendo letto il numero di serie non mi dà molta sicurezza (dopotutto, se sto parlando con un hacker, mi leggerà il numero di serie del certificato non valido), non l'ho sentirsi a proprio agio nel leggerle il numero di serie: è facile dire semplicemente "Sì, è corretto".

Non so perché si è rifiutata di darmi il numero di serie (pensa davvero che si tratti di informazioni sensibili?) Spero di no. Più probabilmente, l'hanno addestrata a non dare "troppo" informazioni.)

Ma questo mi ha fatto pensare. Cosa devo fare se il certificato del sito web della mia banca risulta debole, non valido, scaduto, ...?

Nota: oggi sono più cauto poiché questo è il secondo sito web della banca che sto visitando oggi e che non ha un blocco verde. L'altro aveva persino una croce rossa. Non so se il mio browser / computer è compromesso o che è solo Chromium ad essere più riluttante ad accettare le firme SHA-1. Quando ho telefonato all'altra banca, non ha nemmeno voluto verificare il numero di serie con me, e dopo mi ci sono voluti dieci minuti per convincerlo a prendere nota del certificato per i suoi superiori, che sono abbastanza sicuro che lui non lo farò. In che mondo viviamo.

I siti web delle banche sono: banca ASN e ING bank .

    
posta Keelan 11.08.2015 - 17:03
fonte

1 risposta

5

Il lucchetto verde indica che è in uso un certificato di convalida esteso . Ciò significa che l'organizzazione ha effettuato alcuni controlli estesi prima che il certificato venga emesso per il loro dominio.

Dovresti avere ragione ad essere sospettoso se questo improvvisamente cambia in un certificato DV o OV (Domain Validated o Organization Validated), che sono più facili da ottenere, e difficile da distinguere tra un utente. Il controllo del certificato è valido è una buona mossa, tuttavia tieni presente che dovresti controllare la identificazione personale, non il numero di serie .

Puoi controllare le thumbprint SSL online utilizzando servizi come questo su GRC.

Obbligatorio attrition link.

Si noti che se si è stati oggetto di un attacco mirato, un Man In The Middle potrebbe modificare la pagina GRC per mostrare le impronte digitali del certificato che stava spoofing. Improbabile, ma importante includere queste informazioni qui perché è tecnicamente facilmente possibile. È possibile controllare la pagina GRC tramite TOR o tramite un'altra connessione (ad esempio tramite 3 / 4G) per verificare che la connessione principale non sia stata MITM (e di fatto i siti stessi per vedere se hanno la stessa identificazione).

È probabile che un centralinista bancario non sia abbastanza tecnico da sapere che cos'è un numero seriale e quali sono le conseguenze del suo rilascio.

But this made me thinking. What should I do in case the certificate of my bank's website shows as weak, invalid, expired, ...?

Per prima cosa, non utilizzare il sito per nessuna informazione sensibile. Sì, telefona alla banca, utilizzando un numero di telefono fidato (ad esempio sul retro della carta bancaria), ma chiedi di parlare con qualcuno dell'assistenza tecnica per il sito web e spiega loro il problema.

    
risposta data 11.08.2015 - 17:27
fonte

Leggi altre domande sui tag