I client SSL / TLS avvisano su chiavi deboli / hash per quanto riguarda i certificati autofirmati?

1

Negli ultimi mesi / anni, i client SSL / TLS come i browser Web normalmente visualizzano avvisi sui certificati del server con chiavi a basso bit e algoritmi di hashing deboli. Questo è sicuramente il caso dei certificati firmati dalle principali CA. Vengono visualizzati gli stessi avvisi per i certificati firmati da una CA autofirmata quando i certificati CA sono stati aggiunti all'archivio certificati?

Sono consapevole del fatto che il comportamento dipende esclusivamente dal software client, ma mi interesso principalmente dei principali browser Web (Firefox, Chrome, IE, ecc.)

    
posta potempkin 03.07.2017 - 10:08
fonte

3 risposte

0

Grazie a tutti per le vostre risposte. Ho lasciato che la curiosità avesse la meglio su di me, e in realtà l'ho testata per me stesso (che stavo cercando di evitare in primo luogo). Spero che altri trovino utili questi risultati.

Come puoi vedere, ad eccezione di IE, Firefox e Chrome avvertiranno l'utilizzo di algoritmi di hashing deboli, ma ignorano completamente il problema delle chiavi a 1024 bit.

Tested July 3, 2017

Case 1: 1024bit key, MD5, no subjectAltName
-------------------------------------------------------
Firefox = Warning that cert is hashed with disabled algorithm (MD5) 
Chrome = Warning that cert is missing subjectAltName
IE = no warning


Case 2: 1024bit key, MD5, subjectAltName same as subject CN
-------------------------------------------------------
Firefox = Warning that cert is hashed with disabled algorithm (MD5) 
Chrome = Warning that cert is hashed with weak algorithm (MD5)
IE = no warning


Case 3: 1024bit key, SHA256, no subjectAltName
-------------------------------------------------------
Firefox = no warning
Chrome = Warning about certificate missing subjectAltName
IE = no warning


Case 4: 1024bit key, SHA256, subjectAltName same as subject CN
-------------------------------------------------------
Firefox = no warning
Chrome = no warning
IE = no warning


[1] Browser versions tested:
  * Firefox 54.0.1
  * Chrome 59.0.3071.115
  * IE 11.0.9600.18698
[2] All tests performed on Windows 8.1 32-bit OS
[3] All server certificates signed by a self-signed Root CA,
    with no Intermediate CA. Root CA certificate was installed
    into the Windows certificate store using mmc.exe, and
    Firefox using the Options GUI.
    
risposta data 03.07.2017 - 13:21
fonte
0

Se l'autofirmato è stato aggiunto all'archivio certificati, il sistema operativo / browser sarà considerato come qualsiasi altro certificato e visualizzerà qualsiasi avviso a prescindere.

    
risposta data 03.07.2017 - 10:12
fonte
0

La maggior parte dei browser avviserà su un certificato TLS / SSL vulnerabile, ad es. usando sha1 per firmare il certificato.

Puoi provare il tuo browser utilizzando l'esempio badssl.com per l'errore di certificato errato e vulnerabile.

(aggiornamento) Per testare l'errore del certificato autofirmato, puoi utilizzare scaricare la fonte github di badssl e generare la pagina di test.

    
risposta data 03.07.2017 - 10:40
fonte

Leggi altre domande sui tag