Attacco certificato server falso in SSL / TLS

Naviga le tue risposte
1

Ho un server con un certificato autofirmato server.crt che si fida del client aggiungendo l'autorità auto-creata alle autorità attendibili del suo browser. Ora, dopo aver effettuato la connessione all'indirizzo IP del server tramite https: //, il browser dirà che la connessione è sicura poiché il certificato mostrato è attendibile. Ma come può il cliente essere sicuro che il certificato che è stato mostrato sia in realtà questo specifico server autofirmato. E non un altro certificato che è stato firmato ad esempio da Verisign?

Forse la mia domanda si riduce a questo: quanto è facile per un utente malintenzionato ottenere una firma dalle altre autorità (standard) attendibili in un browser?

Ovviamente il cliente può sempre controllare manualmente nel suo browser quale certificato è stato effettivamente mostrato, ma questo sembra un passaggio che non dovrebbe essere fatto ogni volta che si connette al server.

    
posta peter 04.05.2017 - 14:03
fonte

3 risposte

3

È possibile utilizzare HPKP per bloccare la chiave pubblica dell'autorità creata dall'utente, quindi dopo la prima connessione il client rifiuterà qualsiasi certificato firmato da un'altra CA attendibile.

    
risposta data 04.05.2017 - 15:34
fonte
3

How easy is it for an attacker to get a signature from the other (standard) trusted authorities in a browser?

C'è un esempio da Phishing con domini Unicode post strega spiega come può un attaccante essere in grado creare una pagina di phishing con certificato SSL per ingannare il browser mostrando una connessione sicura.

    
risposta data 04.05.2017 - 19:07
fonte
1

Affinché un certificato possa essere emesso da una CA pubblica per un nome host, è necessario avere almeno il controllo di tale nome host.

quindi, se possiedi il nome di dominio a cui fa riferimento il certificato, puoi essere ragionevolmente certo che nessuno sarà in grado di richiedere e ottenere un certificato per lo stesso dominio tramite una CA pubblica.

Un altro elemento importante da sapere è che le CA non emetteranno certificati per domini privati. Ad esempio, se si utilizza un TLD interno (ad esempio .local), le CA pubbliche non forniranno un certificato corrispondente.

    
risposta data 04.05.2017 - 14:19
fonte

Leggi altre domande sui tag

Un computer può essere infettato da malware visualizzando un PDF online? Quanto è brutto rendere HTML dai cookie?