Spoofing DNS + dirottamento / reindirizzamento delle porte del firewall per acquisire le richieste HTTPS senza ottenere "errore non certificato del certificato" sul browser client [duplicato]

2

Se potessi configurare un server DNS che risponde con l'IP del mio server per un determinato dominio, insieme al reindirizzamento di https e tutte le richieste di query DNS rispettivamente al mio sito https locale e al mio server DNS locale, ciò potrebbe comportare che il browser client ottenga un certificato del sito su https con le credenziali che corrispondono a ciò che il browser ottiene dalle sue query DNS, evitando così l'errore "certificato non attendibile"?

Questo è basato sulla logica che se ho reindirizzato il traffico https e lasciato DNS a qualche server esterno, il DNS potrebbe rispondere alle query del client con un IP che non corrisponde a quello nel certificato generando così l'errore dovuto alla mancata corrispondenza.

Se non è il caso in cui posso farlo, come fa il browser a fidarsi del certificato che riceve? Confronta l'IP fornito nel certificato con quali informazioni DNS ha?

    
posta Dudus 07.01.2018 - 02:06
fonte

1 risposta

2

I certificati non contengono indirizzi IP, ma in realtà contengono il nome host del sito a cui sono stati rilasciati. (ad esempio, www.google.com)

Quando un browser si collega a un sito HTTPS, verifica diverse cose :

  1. Che il nome host nel certificato (in particolare, un nome host elencato nel campo "Nome alternativo oggetto") corrisponda al nome host richiesto.
  2. Il certificato è stato emesso da un emittente fidato (ad esempio un'autorità di certificazione attendibile)
  3. Che il certificato non è scaduto e ha superato la data di rilascio del certificato.

Per con successo (ovvero senza avvisi del browser) del traffico HTTPS MITM, è necessario un certificato per il nome host corretto firmato da un'autorità di certificazione attendibile dal dispositivo client. Senza questo meccanismo, HTTPS non sarebbe efficace nel proteggere da aggressori attivi. (Quanto sia efficace in realtà è una questione di dibattito tra i professionisti del settore.)

DNS non svolge sostanzialmente alcun ruolo nella verifica dei certificati. (Ci sono alcuni usi non tradizionali come RFC 4398 , ma non sono a conoscenza di browser che li utilizzano.)

    
risposta data 07.01.2018 - 02:18
fonte

Leggi altre domande sui tag