quali sono i rischi associati a una catena di certificati incompleta

2

Quali sono i rischi effettivi associati a una catena di certificati incompleta

Ho letto delle catene di certificati e penso di aver capito il concetto, ma sembra che non comprenda i potenziali rischi, ad esempio i verifiche di SSLLab e indica se una catena di certificati è incompleta ma continua a valutare i certificati con catene incomplete molto alte ( A ) quindi questo implica che la catena non sembra essere così importante, mentre la mia comprensione è che la catena è un problema di fiducia e quindi dovrebbe essere molto importante.

Quali loop di sicurezza possono sortirmi se non ho una catena di certificati completa?

Aggiornamento:

Rivedendo la mia fonte stamattina, scopro che il problema relativo alla catena di certificati è stato risolto; in precedenza affermava:

Certificates provided 2 (2936 bytes)
Chain issues Incomplete Chain

Ma stamattina afferma:

Certificates provided 3 (4716 bytes)
Chain issues None

Questo forse perché ho detto alla compagnia di questo, o forse è semplicemente una correzione sul cloudhosting, o qualche altro problema di thrd party.

    
posta Martin 07.07.2017 - 23:52
fonte

1 risposta

4

I certificati di catena mancanti non sono di per sé un problema di sicurezza. Ciò significa che, proprio perché mancano i certificati di catena, un attaccante non può montare attacchi che non poteva fare quando erano presenti questi certificati. Tuttavia, i certificati di catena mancanti possono causare indirettamente problemi rilevanti per la sicurezza.

I certificati di catena mancanti spesso indicano che il peer non può verificare il certificato e quindi non riesce a stabilire la connessione HTTPS. Mentre diversi browser desktop tentano di aggirare tali problemi utilizzando i certificati della catena memorizzata nella cache o scaricando i certificati, tale comportamento è solitamente limitato a questi browser. La maggior parte delle altre applicazioni non riuscirà a connettersi. Nella maggior parte dei casi non riescono a connettersi è solo fastidioso. Ma in alcuni ambienti questo può essere un problema serio se i dati importanti non vengono scambiati a causa di questo.

Inoltre, alcuni sviluppatori cercano di aggirare questo tipo di problemi disabilitando la convalida del certificato. Sfortunatamente ci sono troppe risposte e commenti su stackoverflow.com che suggeriscono semplicemente di disabilitare la convalida in questi casi senza evidenziare i problemi di sicurezza che ciò causa. Perché, mentre questo sembra risolvere il problema attuale in quanto la connessione TLS funziona, rende anche possibile l'attacco di un uomo semplice nel mezzo e crea così un enorme problema di sicurezza.

    
risposta data 08.07.2017 - 00:25
fonte

Leggi altre domande sui tag