Se un MiTM ha il certificato del server, in che modo il pinning del certificato può proteggerlo?

0

In uno scenario in cui client - > server tramite SSL, il server risponde con il set di cert (chain-of-trust) che contiene anche il certificato bloccato nel client.

Supponiamo che la CA radice sia compromessa e che la configurazione sia questa: client - > MiTM - > server

Il MiTM non può semplicemente usare il set di certificati dal server per aggirare il pinning del certificato? Il certificato appuntato deve essere il certificato foglia nella catena?

    
posta Josh 06.04.2017 - 11:23
fonte

1 risposta

0

Se la chiave privata del certificato aggiunto o di uno dei suoi discendenti è compromessa, il blocco dei certificati non può aiutarti.

Se il certificato foglia è bloccato, solo ottenere la chiave privata di questo certificato consente a MitM. Se il certificato intermedio di livello superiore è bloccato, ottenendo la chiave privata di questo intermedio o la foglia consente a MitM.

Ovviamente, appuntare la foglia rende molto più difficile modificare quel certificato.

Come sempre, c'è un compromesso.

    
risposta data 06.04.2017 - 11:36
fonte

Leggi altre domande sui tag