Cosa mi impedisce di riprodurre un certificato SSL?

1

Dire che ho il certificato SSL per google.com. Lo intercetto, modifica il certificato con il mio nome di dominio e la chiave pubblica e lo uso per intercettare tutto il traffico su google.com. Quali meccanismi esistono nel certificato SSL per impedirmi di farlo?

    
posta user1720897 07.09.2014 - 14:25
fonte

1 risposta

6

Quando una CA firma un certificato, crittografa un hash che include il nome host della destinazione del certificato utilizzando la propria chiave privata. Quando il client riceve il certificato, decrittografa l'hash utilizzando la chiave pubblica per la CA (che viene inserita nel client) e verifica che corrisponda all'hash calcolato dal client. Se gli hash non corrispondono, la convalida fallisce e la connessione deve essere interrotta.

  • Se modifichi il certificato per cambiare il nome dell'host, gli hash non corrisponderanno a
  • Se provi a firmare nuovamente il certificato (cioè sostituisci l'hash con il tuo), il client non si fiderà di esso perché non è stato firmato da una delle loro CA di fiducia.
  • Se provi a presentare un certificato firmato legittimamente per un altro dominio, ovviamente la convalida fallirà anche perché il dominio non corrisponde.

Ovviamente quanto sopra presuppone che il client convalidi correttamente i certificati, che è non sempre il < a href="http://www.cs.ucsb.edu/~koc/ns/docs/articles/p50.pdf"> caso .

    
risposta data 07.09.2014 - 14:57
fonte

Leggi altre domande sui tag