Come posso verificare i certificati quando ci si collega a un server FTP con Filezilla?

1

Oggi la maggior parte dei provider di hosting avviano una connessione TLS ogni volta che ci si connette al proprio server FTP. Ma Filezilla non memorizza alcun certificato radice, quindi ogni volta che ti connetti a un server FTP e la connessione TLS viene avviata, ricevi questo messaggio:

The server's certificate is unknown. Please carefully examine the certificate to make sure the server can be trusted.

Poi ci sono alcuni dettagli sul certificato: impronta digitale, soggetto, emittente, ecc. È anche possibile vedere i dettagli degli altri certificati nella catena, fino al certificato di origine. Tuttavia, non vedo alcun modo per scaricare tutti i certificati, ma potrei sbagliarmi. Filezilla mi chiede: "fidati di questo certificato e continua a connetterti?" Quindi mi piacerebbe sapere cosa dovrei fare per essere certo di potermi fidare.

Ecco gli screenshot per ulteriori informazioni. Sotto quelle finestre gli unici pulsanti sono "ok" o "cancella" (non inclusi negli screenshot). Nota che il primo è "certificato nella catena # 0", quindi ci sono # 1 e # 2. Da quanto ho capito, in questo esempio il certificato di root dovrebbe essere "AddTrust External CA Root".

    
posta reed 06.11.2018 - 20:00
fonte

1 risposta

1

FileZilla non si fida mai automaticamente dei certificati.

Hai menzionato una catena di fiducia, ma non molto sul certificato di root. Sembra che ci si debba fidare di qualcuno? È possibile confrontare l'impronta digitale del certificato di origine fornito con uno nel deposito di certificati sul computer locale. Questo emulerebbe il comportamento di base / predefinito per la maggior parte dei client TLS, per fidarsi del client perché ci si fida della CA.

Per essere particolarmente esigenti, puoi contattare il proprietario del server FTP e chiedere quale sia l'impronta del loro certificato. Quando ci si connette, se il certificato presentato ha l'impronta digitale corretta e si ha fiducia in esso, le future connessioni saranno d'ora in poi protette dagli attacchi MITM.

Supponendo che il proprietario FTP non sia particolarmente utile, un altro modo per aumentare la fiducia sarebbe quello di osservare l'impronta digitale del certificato per un lungo periodo di tempo utilizzando diverse connessioni e dispositivi Internet. Se si vedono solo le impronte digitali di una singola chiave, ciò indica che nessuno sta tentando un attacco MITM o che lo stanno facendo con successo ogni volta che ci si connette. Supponendo che tu sia un ottimista, fidati della chiave con questa impronta digitale.

    
risposta data 06.11.2018 - 21:58
fonte

Leggi altre domande sui tag