Combinazione di certificati SSL con caratteri jolly e sottodominio

0

Non sono sicuro quali termini di Google utilizzare per trovare la risposta, quindi ho pensato di chiederlo qui, presentato come uno scenario:

Supponiamo di avere un'entità aziendale (esempio Co) con un certificato SSL con caratteri jolly emesso per * .example.com. Si contraggono con un fornitore SaaS e richiedono al fornitore SaaS di utilizzare un dominio personalizzato: saas.example.com.

Il provider SaaS crea la propria chiave privata (non condivisa con Example Co), genera un CSR e lo passa a Example Co., che lo ha firmato dalla propria CA e lo restituisce al provider SaaS per l'utilizzo in produzione .

Più tardi nello stesso anno, la chiave privata per il certificato di caratteri jolly di Example Co è compromessa, ma non lo sanno (quindi non la revocano). Se i ladri collegano man-in-the-middle a saas.example.com e presentano il certificato jolly, il cliente otterrebbe che man-in-the-middled ottenga qualsiasi tipo di avviso relativo al protocollo SSL dal proprio browser?

    
posta ssl-curious 13.03.2015 - 20:46
fonte

1 risposta

2

If the thieves man-in-the-middle connections to saas.example.com and present the wildcard cert, would the customer getting man-in-the-middled get any sort of SSL-related warning from their browser?

Solitamente non perché l'utente malintenzionato presenti un certificato non revocato che è valido per l'host a cui si accede. Il client rifiuterebbe solo il certificato valido se fosse stato utilizzato un tipo di blocco del certificato e il certificato non corrispondesse alla chiave pubblica prevista.

    
risposta data 13.03.2015 - 22:10
fonte

Leggi altre domande sui tag