¿Cómo pueden LetsEncrypt y otros servicios similares verificar la propiedad de un dominio a través de http inseguro? [duplicar]

5

LetsEncrypt le permite verificar la propiedad de su dominio utilizando el elemento .well-known , pero como el sitio es http antes de que se emita el primer certificado, ¿no podría alguien hacer un ataque MITM para dar a leenencriptar la respuesta que desea sin realmente poseer ¿el dominio? Estoy bastante seguro de que la gente de LE sabe lo que están haciendo, solo quiero saber cómo funciona.

EDITAR:

Para aclarar, estoy hablando de falsificar todo el proceso, no solo adivinar el nonce que se usa después de que un propietario legítimo comienza el proceso. Estoy hablando de un atacante que ejecuta certbot y hace todo el proceso.

    
pregunta markasoftware 04.05.2017 - 06:02
fuente

1 respuesta

3
  

¿no podría alguien hacer un ataque MITM para dar a letencrypt la respuesta que desea sin poseer el dominio?

Sí, alguien que sepa la respuesta que Let's Encrypt espera podría proporcionarla. Pero, la respuesta se crea utilizando una clave privada que solo conoce el propietario del servidor donde la clave pública coincidente es conocida por Let's Encrypt. Por lo tanto, es prácticamente imposible para un hombre del medio adivinar la respuesta correcta.

Para obtener más información, consulte Cómo funciona de Let's Encrypt, que incluye la siguiente descripción:

  

Junto con los desafíos, Let's Encrypt CA también proporciona un nonce que el agente debe firmar con su par de claves privadas para demostrar que controla el par de claves .

Por supuesto, si el atacante controla completamente el acceso al dominio, puede crear una nueva cuenta con Let's Encrypt y obtener un certificado para este dominio. Pero en este caso, el atacante es esencialmente propietario del dominio no solo desde la perspectiva de Let's Encrypt sino también de otros terceros.

    
respondido por el Steffen Ullrich 04.05.2017 - 06:50
fuente

Lea otras preguntas en las etiquetas