È possibile un attacco di 'fingerprinting' del certificato SSL / TLS HTTPS?

2

Se scarichi il certificato radice HTTPS del sito di un amico (indipendente da quelli predefiniti forniti dal browser), o crei semplicemente un'eccezione permanente a un oscuro certificato autofirmato, in Firefox, mi chiedo se o come un attacco da terze parti (livello server e livello applicazione HTTP) per scoprire l'utilizzo e l'archiviazione di questa esclusiva e oscura certificazione / autorità HTTPS, da te come utente sul Web, è possibile.

Se rilevabile da altri server o MITM che in qualche modo usano quegli stessi certificati unici per verificare la risposta di ricerca / verifica / browser a loro (se hai già accettato lo stesso certificato sicuramente i tempi saranno più rapidi), possono quindi attaccare la tua privacy sapendo che usi (o almeno hai accettato / installato) il cert sopra indicato dal sito del tuo amico, o rompere l'anonimato tramite il concetto di fingerprinting (solo fingerprinting mirato).

Quali sarebbero i vari modi per farlo e i requisiti per questi metodi? Non sono un ricercatore per la sicurezza, ma posso pensare a 1. la falsificazione diretta da parte del server (ma richiederebbe l'acquisizione delle chiavi private del mio amico e quindi meno probabile di una vasta minaccia?), E 2. (ma bloccabile da componenti aggiuntivi come come RequestPolicy se l'utente è a conoscenza), utilizzando richieste cross-site che coinvolgono il sito dell'amico originale senza alcuna imitazione / furto / falsificazione necessaria in ogni caso, e in qualche modo osservando se effettivamente, hai installato, o accettato quel certificato in questo modo.

Se ci sono differenze tra i browser in tale vulnerabilità, io uso Firefox.

    
posta operational 11.02.2015 - 22:39
fonte

1 risposta

1

Non c'è possibilità di attacco delle impronte digitali.

Il primo punto qui è che non ci sono certs unici come è possibile creare e se si tenta di farlo, è necessario aggiungere la firma digitale nel certificato (autofirmato o meno), quindi si richiede la chiave privata. È disponibile solo con la persona in particolare.

Il secondo punto qui è che non puoi stabilire una comunicazione sicura, ovviamente fallirà durante la negoziazione.

    
risposta data 12.02.2015 - 00:51
fonte

Leggi altre domande sui tag