Fino a che punto posso contare su HTTPS per le comunicazioni client-server?

Naviga le tue risposte
1

Mi piacerebbe sapere fino a che punto e in quali circostanze va bene affidarsi a HTTPS per le comunicazioni client-server. Negli anni precedenti, ci sono state alcune notizie sugli hack delle autorità dei certificati (come diginotar), so che ci sono anche alcuni difetti nel modo in cui funziona HTTPS, ad esempio i resolver DNS dell'ISP potrebbero non essere affidabili in alcune regioni e inviare un HTTPS falso certificati ai clienti ...

Diciamo che sto gestendo un server che ospita un sito web che gestirà milioni di transazioni di denaro , probabilmente sarà soggetto a hack. Il server è ultra-sicuro (nessun DDOS, intrusione di ssh o iniezione di codice possibile), le mie preoccupazioni riguardano la comunicazione tra il mio server e i client che potrebbero vivere in qualsiasi parte del mondo.

Le mie domande:

  • La scelta della CA di registrare il mio dominio è importante?
  • Ci sono alcune CA considerate più sicure o meno sicure?
  • Ci sono alcune CA che sono in lista nera o accesso vietato in alcune regioni del mondo? (Ciò renderebbe i miei clienti da quelle regioni impossibilitate ad accedere alla mia piattaforma tramite HTTPS.)
  • È possibile per gli ISP monitorare le richieste fatte dal cliente per i certificati e talvolta rilasciare certificati falsi?
posta Lamouette 26.10.2018 - 13:55
fonte

2 risposte

1
  • La scelta della CA di registrare il mio dominio è importante?

Sì. Vi sono state violazioni fisiche in sede che hanno esposto i certificati di firma di alcune CA (RSA). Ci sono CA che hanno emesso certificati falsi per società legittime (THAWTE / Symantec, Cina). Ci sono CA che sono stati banditi per falsi certificati "erroneamente" emessi che sono stati utilizzati in malware o utilizzati per fornire l'intercettazione illegale di siti legittimi. (Wosign cinese e CNNIC)

  • Ci sono alcune CA considerate più sicure o meno sicure?

Secondo me, sì. Secondo le persone che costruiscono e mantengono elenchi non fidati di certificati, sì. Google mantiene in realtà un elenco e API di certificati non attendibili tramite il progetto chiamato Submariner.

  • Ci sono alcune CA che sono in blacklist o accesso vietato in alcune regioni del mondo? (Questo renderebbe i miei clienti da quelle regioni impossibile accedere alla mia piattaforma tramite HTTPS.)

Sì, ma la matrice di quale paese si fida di ciò che CA non esiste. E ancora peggio, a meno che tu non stia vivendo in un paese che controlla il tuo accesso a Internet, il problema diventa più nebuloso nel tentativo di determinare quali società si fida di quali CA ...

  • È possibile per gli ISP monitorare le richieste fatte dal cliente per certificati e talvolta rilascia certificati falsi?

È possibile che le persone in linea alla tua connessione eseguano un attacco Man-in-the-middle SSL / TLS (comunemente soprannominato, Intercettazione SSL) ma se, come utente che avvia la connessione, stai controllando i tuoi certificati quando il tuo browser si lamenta di un problema, dovresti vederlo (es. vai al link e il cert che il tuo browser vede è per un altro registrante) .

Se stai ancora utilizzando SSL e alcune delle prime versioni di TLS, ci sono anche attacchi noti per loro.

Se stai ancora utilizzando vecchi certificati che utilizzano algoritmi di hashing o di crittografia anonimi, ci sono anche attacchi contro di loro (ad es. DES, 3DES, MD4 / 5).

    
risposta data 26.10.2018 - 16:08
fonte
0

Cerca nel blocco della chiave pubblica, che fornisce una protezione contro le autorità di certificazione compromesse:

link

    
risposta data 26.10.2018 - 14:41
fonte

Leggi altre domande sui tag

Hashcat bruteforce definisce la forma dell'intervallo di cifre e a comando di upload meterpreter non funziona