Assicurati automaticamente che il certificato (autorità) del sito non sia cambiato

Naviga le tue risposte
1

La mia situazione:

Ho impostato la mia propria autorità di certificazione e generato un certificato per un server utilizzato principalmente internamente.

A quanto ho capito, posso configurare i miei browser / computer in modo che si fidino del certificato del server interno importando il certificato delle autorità superiori.

La mia preoccupazione:

Come posso essere informato (prima di inviare informazioni sensibili al server canaglia o al dispositivo MITM) di qualsiasi attacco in cui un'autorità pre-fidata viene utilizzata per generare un nuovo certificato per un server di imposter?

Posso configurare il mio browser (Chrome, Firefox) per inviare un avviso se l'emittente / l'impronta digitale del certificato cambia?

In breve, come posso non fidare delle autorità fidate su base per dominio?

    
posta robut 08.11.2015 - 03:23
fonte

3 risposte

1

Can I configure my browser (Chrome, Firefox) to throw an alert if the certificate issuer / fingerprint changes ?

Chrome e Firefox supportano entrambi HPKP che consente di bloccare la chiave pubblica del certificato per un host specifico. ciò non genera un allarme se l'emittente cambia ma solo se la chiave pubblica del certificato cambia. Questa è una protezione ancora più severa perché chiunque desideri impersonare il tuo sito dovrebbe avere la tua coppia di chiavi pubblica / privata originale, indipendentemente dalla CA utilizzata alla fine.

In short, how can I untrust trusted authorities on a per-domain basis ?

Non c'è modo di dire in anticipo quale CA accetterai per quale sito. Ma una volta che esiste un certificato per un sito, è possibile utilizzare HPKP per accettare solo certificati con chiavi pubbliche specifiche per un sito.

    
risposta data 08.11.2015 - 04:49
fonte
0

Nessuna CA legittima dovrebbe rilasciare un certificato per il nome host del proprio server, senza prima aver convalidato la richiesta di certificato. Questo è spesso fatto attraverso convalida del dominio .

Per rispondere alla tua seconda domanda, puoi utilizzare blocco dei certificati in modo che il tuo browser ti avviserà se il certificato cambia.

    
risposta data 08.11.2015 - 03:44
fonte
0

Ci sono alcuni componenti aggiuntivi del browser che possono fare ciò che stai cercando:

  • Patrol del certificato : questo componente aggiuntivo ti avviserà quando il certificato o modifica dell'autorità di certificazione per un sito Web. Ti permetterà di controllare i certificati che il tuo browser sta accettando per un determinato dominio. Uno svantaggio è che gli avvertimenti possono diventare piuttosto prolissi in alcune situazioni.
  • Prospettive : questo componente aggiuntivo ha funzionalità per controllare la cronologia dei certificati di un sito web come visto dalle osservazioni dei loro server. Puoi configurare le regole per generare avvisi se il certificato non è stato stabile per un certo numero di giorni, tra le altre caratteristiche.
risposta data 08.11.2015 - 04:43
fonte

Leggi altre domande sui tag

Il modo più sicuro per isolare il computer sulla rete DEVI condividere le informazioni personali con Windows 10?