MITM e https per l'autenticazione

1

Se voglio andare a https://www.example.com , il mio ISP può invece darmi un altro sito https, ma farlo sembrare che provenga da https://www.example.com Se lo fanno, il mio browser mi dirà che ho il sito web sbagliato e se sì, è vero per tutti IE, Firefox e Chrome?

    
posta dorothy 31.05.2017 - 08:18
fonte

2 risposte

1

Se colleghi questo dominio, il certificato viene controllato dal tuo browser. Il certificato del server HTTPS deve essere firmato con uno dei certificati dell'autorità di certificazione che il tuo computer ha fiducia. Se non è firmato da esso, verrà visualizzato un avviso dal browser in cui la connessione non è affidabile.

Se l'ISP sarà in grado di gestire il certificato è firmato da una di queste autorità di certificazione (o aggiungere un'altra autorità di certificazione alle tue autorità di certificazione attendibili) non sarai in grado di notarlo finché non saprai, quale CA ha rilasciato il certificato corretto per il server e lo controllerai manualmente nel browser.

Questo non avverrà mai in condizioni "normali", in quanto le autorità pubbliche di certificazione non emetteranno mai certificati a nessun altro che al proprietario del server (domian). E per fare in modo che l'ISP sia in grado di installare un altro certificato nel tuo negozio di fiducia, devono in qualche modo hackerare il tuo PC o fornirti un codice malevolo in qualche modo (cioè ti danno un CD con alcuni "driver"). Ma non è così facile come sembra e direi che nessun ISP rischierà qualcosa di simile.

Modifica: Ho dimenticato di menzionare che il server utilizzerà un protocollo non sicuro (ad esempio SSLv2) con una suite di crittografia insicura, ma esiste anche la possibilità che il MITM possa accadere.

    
risposta data 31.05.2017 - 08:26
fonte
1

Per prima cosa, se vuoi andare al link allora qualunque browser stai usando controllerà prima il tuo server DNS per verificare se c'è qualche indirizzo IP elencato contro tuodominio.com. Se si utilizza il server DNS fornito dal provider di servizi Internet, è possibile elencare l'indirizzo IP di un server Web phishing falso su yourdomain.com nel proprio server DNS. Quindi, quando il tuo browser ha richiesto quell'IP, reindirizzerai al sito Web di phishing. Questo attacco è chiamato avvelenamento DNS . Stai specificando lo scenario dell'ISP, ecco perché sto ignorando l'opzione Avvelenamento dalla cache ARP .

Ora, se stai tentando di accedere al sito di phishing con link , qualsiasi browser che utilizzi dovrebbe avvisarti di un problema di sicurezza. Poiché il sito Web che stai tentando di visitare non può fornire dettagli di certificazione appropriati al tuo browser. Di solito, quando un browser tenta di accedere a un sito Web legittimo tramite https, il sito Web fornisce un certificato appropriato contenente la sua firma digitale e la chiave pubblica. Quindi il browser acquisisce questo certificato e lo verifica rispetto all'elenco delle autorità di certificazione attendibili. Se tutto si verifica, la connessione tra server Web e browser viene crittografata tramite la chiave privata del server web. Questa comunicazione può anche essere violata da un metodo MITM chiamato SSL hijacking.

Ecco una buona documentazione di come funziona Certificazione digitale e SSL . Controlla anche qui .

    
risposta data 31.05.2017 - 09:35
fonte

Leggi altre domande sui tag