¿Comprobar la validez del certificado SSL en la red pública?

4

Mi compañía acaba de comenzar a emitir sus propios certificados SSL, por lo que los sitios HTTPS ahora se muestran seguros, pero si verifica el certificado utilizado, la CA raíz es nosotros, no la persona que utiliza el sitio.

Esto me hizo pensar que, si estuviera en una red pública en algún lugar, ¿podrían emitir su propio certificado para que pareciera confiable y, por lo tanto, darme un candado verde en el sitio de mi banco?

Después de escribir esto, creo que puedo saber la respuesta a mi propia pregunta ... ¿parece confiable debido a una política de grupo que le dice a la PC que confíe en el certificado? Entonces, ¿los teléfonos móviles (o dispositivos que no están unidos a AD) dirían que cada sitio HTTPS es inseguro?

Si esto ocurriera en una red pública, ¿cómo garantizaría la seguridad? ¿Una VPN todavía lo protegería o podrían interceptarlo también?

    
pregunta Lewis Lebentz 31.01.2016 - 22:33
fuente

2 respuestas

2
  

Esto me hizo pensar que, si estuviera en una red pública en algún lugar, ¿podrían emitir su propio certificado para que pareciera confiable y, por lo tanto, darme un candado verde en el sitio de mi banco?

Sí.

  

¿parece confiable debido a una política de grupo que le dice a la PC que confíe en el certificado?

Sí. (O algún otro mecanismo que indique a la PC que confíe en el certificado. De forma predeterminada, no será confiable)

  

¿Entonces los teléfonos móviles (o dispositivos que no están unidos a AD) dirían que cada sitio HTTPS es inseguro?

Sí.

  

Si esto ocurriera en una red pública, ¿cómo garantizaría la seguridad?

Si no desea que su empresa pueda interceptar su tráfico, no use su equipo y no instale su certificado raíz en su equipo.

  

¿Una VPN aún lo protegería o podrían interceptarlo también?

Depende de la VPN.

  

¿Cómo puede una red pública instalar un certificado en su computadora?

No puede, a menos que use algún tipo de explotación (similar a la forma en que se propagan los virus). Es mucho menos probable que suceda ahora que en el pasado.

  

¿Cómo protegería una VPN contra un certificado deshonesto una vez que se instala?

Al no confiar en el certificado. Nothing obliga a un programa a confiar en todos los certificados instalados.

    
respondido por el immibis 01.02.2016 - 01:47
fuente
2

No está realmente relacionado con Active Directory o la Política de grupo. Esa es solo una forma de hacerlo.

Si alguien puede instalar su propio certificado raíz en su (s) tienda (s) de confianza, entonces pueden emitir certificados falsos y todo parece legítimo. Consulte Proxy de Charles .

Un uso legítimo para esto es permitir que herramientas como Snort monitoreen el tráfico cifrado en una red.

Algunas aplicaciones fijan su certificado y no usan la tienda confiable (Chrome hace esto con los certificados de Google).

BYOD o espere que su compañía esté descifrando su tráfico.

    
respondido por el Neil McGuigan 01.02.2016 - 03:14
fuente

Lea otras preguntas en las etiquetas