Se aceptan CA raíz, países y verificación de huellas dactilares

4

Esta es una pregunta derivada de varias otras, y no puedo comentarlas, por lo que no está duplicada, por favor lea:

En algunas preguntas relacionadas, algunos usuarios comentan que:

  
  1. "No necesariamente tendrían que presentar certificados que no sean de confianza. Subaldar una CA raíz existente es trivial, ya que son empresas como   cualquier otro. Algunos países como España, Francia, China, Japón, Taiwán y   Turquía ya tiene su raíz de gobierno instalada en su   computadora. Un régimen podría fácilmente requerir todas las computadoras vendidas o mantenidas   en su país para instalar la raíz de su gobierno ca. "
  2.   

Además de eso, hay un problema con:

  
  1. "Con otro certificado de hoja TLS válido, se puede omitir el indicador de CA y ese certificado se puede usar para firmar un certificado para cualquier    sitio .
  2.   

Chrome y Firefox son ciertamente vulnerables a esto en sistemas sin parches (lo que probablemente sea una gran cantidad de sistemas hoy en día) ".

Entonces, 3 preguntas:

  • Desde el punto 1), si vive en esos países, con "españa ... etc", si hay alguna forma de verificar que la CA que está usando (por ejemplo, en Firefox u otra) sea la compañía adecuada , por ejemplo google / gmail? ¿Y no el gobierno?

  • Desde el punto 2) ¿cómo sabemos que tenemos nuestro navegador / sistema no parcheado para ese tipo de error?

  • En resumen, de los puntos anteriores, DÓNDE y cómo debería comprobar la huella digital de mi CA desde Gmail.

Tengo esto:

Revisé aquí .

¿Esto es correcto?

    
pregunta voskyc 27.07.2015 - 05:30
fuente

1 respuesta

4
  

Desde el punto 1), si vive en esos países, con "España ... etc", si   de todos modos para comprobar que la CA que está utilizando (en Firefox para   ejemplo u otro) es la empresa adecuada, por ejemplo, google / gmail?   ¿Y no el gobierno?

Puede verificar la ruta de certificación para averiguar qué CA intermediaria y raíz firmaron el certificado que se le presenta desde su navegador.

  

Desde el punto 2) ¿cómo sabemos que no tenemos nuestro navegador / sistema?   parcheado para ese tipo de error?

En general, solo se verifican las bases de datos de vulnerabilidades en línea como esta o el proveedor bug lists para verificar si un problema de seguridad en particular ha sido identificado y reparado.

  

¿Esto es correcto?

Puede consultar las huellas digitales de SSL en línea, como this en GRC. La página señala que Google y Apple no pueden verificarse de esta manera:

  

Pero las empresas con una presencia web masiva y ampliamente distribuida, tales   Como Amazon o Google, pueden desplegar muchos certificados de seguridad diferentes.   a través de sus muchos servidores y sitios web distribuidos globalmente. Múltiple   Los certificados pueden ser más fáciles de obtener y administrar, y sus   La seguridad no se reduce. Pero sí significa que no todos los usuarios de su   Los servidores (como usted y esta página de GRC) obtendrían necesariamente el mismo   certificado de seguridad.

     

Esto significa que una comparación simple de las huellas dactilares del certificado podría   erróneamente llevar a las personas que desean probar estos enormes sitios web para   concluyen que sus conexiones estaban siendo interceptadas, cuando tienen   simplemente recibió un certificado válido diferente al recibido   y mostrado por esta página web.

     

La mejor solución es probar sitios más pequeños que se sabe que están usando   Certificados individuales, o sitios que utilizan el completamente impenable.   Certificados de validación extendida (EV) con un navegador web que cumple con EV   como Firefox o Chrome (pero no Internet Explorer, que no lo hace)   verificar correctamente los certificados EV).

Obligatorio attrition .

Tenga en cuenta que si fue objeto de un ataque dirigido, un Man In The Middle podría alterar la página de GRC para mostrarle las huellas dactilares del certificado que ella estaba falsificando. Es poco probable, pero es importante incluir esta información aquí porque es técnicamente posible. Puede verificar la página de GRC a través de TOR o a través de otra conexión (por ejemplo, a través de 3 / 4G) para verificar que su conexión principal no haya sido MITM'd. Esto también se puede aplicar para verificar la cadena de certificados en la mayoría de los casos, pero como se indicó, Google y Apple pueden tener diferentes CA dependiendo del servidor al que llegue su conexión.

    
respondido por el SilverlightFox 27.07.2015 - 14:35
fuente

Lea otras preguntas en las etiquetas