Come è possibile lo spoofing SSL?

0

Ecco una descrizione di una parodia del certificato SSL apparentemente riuscita:

link

The session is initiated by pointing a newly-opened icedove window manually at the following URL:

CODE: SELECT ALL https://google.com

This URL then redirects to the local google subsidiary for the exitnode cluster in question (Paris, France):

CODE: SELECT ALL

https:// google.fr

Immediately we notice that icedove is not happy with the certificate credentials... although the page still loads without any errors or overt warnings:

Come è possibile? Perché il browser not emette un avviso di sicurezza in questo caso, poiché i certificati non sono considerati attendibili da alcuna autorità di certificazione radice che ha localmente nella sua cacerts ?

    
posta levant pied 11.08.2015 - 15:55
fonte

2 risposte

7

Gli autori della pagina a cui ti riferisci non riescono a capire alcuni concetti di base e fanno affermazioni altrimenti false. Per questo motivo non penso che dovresti prendere dichiarazioni o conclusioni da questo articolo per davvero. Alcuni esempi:

This certificate identifies itself (via CN field) as *.google.com despite being served during a putative session with google.fr (again, this kind of obvious certificate misconfiguration is all but impossible to imagine google doing in production systems):

Mentre il certificato che citano ha *.google.com come CN in quanto correttamente dichiarano di non riconoscere che il certificato contiene *.google.fr nella sezione dei nomi alternativi di soggetto (SAN). E ovviamente gli autori non sanno che se questa sezione è presente e contiene nomi DNS come in questo caso, i browser non dovrebbero nemmeno guardare il CN ma solo nella SAN. Ciò significa che il certificato corrisponde al server e anche la catena di fiducia è corretta, quindi non c'è da meravigliarsi se il browser non si lamenta di ciò.

However, it's notable that the connection does not appear to represent an EV-class certificate. In other words, there's no 'green lock' as we see in any of google's other services. For example: ...

Non so quali "altri servizi" fanno riferimento, ma né google.com né youtube.com utilizzano i certificati EV.

In breve: ci sono diversi errori evidenti in questo articolo. Pertanto raccomando semplicemente di ignorare qualsiasi affermazione e conclusione fatta in questo articolo perché gli autori non sembrano capire di cosa stanno parlando.

Modifica: ho appena scoperto che questo articolo è anche strongmente criticato in link

    
risposta data 11.08.2015 - 21:10
fonte
1

Non vedo nulla di particolarmente fuori dall'ordinario.

Gli indirizzi IPv4 si spostano. Google non utilizza la certificazione EV poiché EV non consente i caratteri jolly. Questa persona non sa che un certificato può contenere più nomi di dominio nel campo subjectAlternativeName, guarda solo il nome canonico, che in realtà è google.com per i domini di Google.

    
risposta data 11.08.2015 - 18:14
fonte

Leggi altre domande sui tag