Chrome: esté atento a los certificados https modificados

6

He leído mucho sobre la seguridad de https y los posibles ataques MITM últimamente. Para mí, parece que solo hay una forma posible de realizar un ataque https-MITM: cuando un MITM intercambia el certificado https enviado y mi computadora confía en la CA firmante.

Así que me pregunto ¿cómo es posible para mí como usuario estar seguro? Leí sobre Certificate Patrol para Firefox: enlace pero desafortunadamente estoy usando Chrome y, además, la extensión es bastante antigua (de 2011). ¿Hay algo como esto para Chrome? Me gusta la idea de algún tipo de "base de datos" de certificados para poder recibir un aviso tan pronto como el certificado cambie (incluso si se cambia por uno nuevo que Confío).

¿Produciría esto una buena capa de seguridad?

¡Gracias!

    
pregunta tim 01.01.2016 - 19:26
fuente

2 respuestas

2
  

¿Hay algo como esto para Chrome?

No. Las extensiones de Chrome actualmente no tienen forma de acceder a la información sobre los certificados TLS que se están utilizando, y una propuesta para agregar esta funcionalidad fue rechazado en 2015 .

  

¿Produciría esto una buena capa de seguridad?

Probablemente no.

Aclaremos el modelo de amenaza aquí: le preocupa un escenario en el que "un MITM intercambia el certificado https enviado y mi computadora confía en la CA firmante". Esto requeriría que el atacante obtenga un certificado válido de una autoridad de certificados de confianza para un dominio que no posee.

Mientras que las CA han emitido erróneamente certificados a las entidades incorrectas en el pasado ( Comodo , WoSign , Symantec ), estos son bastante raros los eventos y las CA que constantemente no cumplen con los requisitos de validación en los requisitos de línea de base tienen sus certificados raíz desconfiados por los proveedores del navegador. (Esto le sucedió a WoSign, y actualmente le está sucediendo a Symantec).

Además, el beneficio de seguridad que brindaría este tipo de alertas depende completamente de su respuesta al notar un certificado modificado. Los sitios cambian sus certificados todo el tiempo (a menudo tan frecuentemente como una vez cada dos meses, como en el caso de los certificados de Let's Encrypt administrados por Certbot), por lo que la gran mayoría de las veces que aparece esta alerta solo va a ser una falsa alarma. ¿Cómo planea distinguir estas falsas alarmas de un ataque legítimo? A menos que tenga alguna forma fuera de banda de verificar si el nuevo certificado que está viendo es legítimo, una alerta no servirá de mucho.

    
respondido por el Ajedi32 24.10.2017 - 22:02
fuente
0

Triste, pero no. Puede usar la extensión Netcraft para evitar las redes de suplantación de identidad (phishing), o usar ESET Smart Security; tiene un módulo para detectar certificados SSL no confiables. Pero el doest de Chrome tiene una extensión similar a la de Certificate Patrol.

    
respondido por el da4kgr3y 25.08.2017 - 16:51
fuente

Lea otras preguntas en las etiquetas