Faking e iniezione di certificati crittografici

0

Supponiamo che, come utente malintenzionato, fornisca un certificato falso a un utente. Un avviso si apre sulla sua finestra, ma lei decide di continuare comunque. Il mio certificato falso ora viene aggiunto nell'elenco dei certificati attendibili del suo browser? Se lei cerca di visitare il mio sito web e io fornisco di nuovo il falso certificato, lei lo ha avvertito di nuovo o no? Inoltre, come posso iniettare un certificato falso nell'elenco di certificati di una destinazione in modo che non venga mostrato un certificato di avviso?

    
posta faraz khan 03.06.2015 - 13:18
fonte

1 risposta

1

Is my fake certificate now added in her browser's trusted certificate list?

Sì, a seconda del browser utilizzato. In passato TUTTI i browser si comportavano in questo modo. Aggiunta di un certificato autofirmato all'archivio certificati attendibili.

If she tries to visit my website and I provide the fake certificate again is she warned again or not?

Negli ultimi anni questo comportamento è stato modificato per forzare l'accettazione del certificato non firmato prima di procedere a proteggere meglio gli utenti di Internet non protetti da vittime di questo tipo di exploit.

Also,how can I inject a fake certificate in a target's list of certificates so that she is not shown a warning certificate?

Mentre questa area di ricerca (utilizzando un gruppo di dispositivi per la forza bruta e fattore di collisione del generatore di numeri casuali che porta a una chiave privata con cui generare un certificato x.509 debolmente firmato) ha fornito risultati fruttuosi nei laboratori, non è comune, e molto costoso da computare.

Per poter "iniettare un certificato falso" che elimini la graffatura OSCP del browser, è necessario disporre di un certificato X.509 firmato valido da una CA (autorità di certificazione).

    
risposta data 03.06.2015 - 13:57
fonte

Leggi altre domande sui tag