¿Por qué se ha introducido MA-SSL?

4

Si mi conocimiento es correcto con respecto a SSL simple, Mutuamente autenticado-SSL tiene la ventaja de que ambas partes finales son autenticado uno al otro:

  

No solo el punto final del Cliente sabe que se está comunicando con el   El punto final del servidor autenticado, pero también el punto final del servidor es seguro   que está comunicando datos con el punto final del Cliente Autenticado y   no con un tercero no autorizado (MITM).

Mi pregunta es:

"¿En qué tipo de escenario otorgará un mayor nivel de seguridad en la comunicación?"

En otros términos:

"¿Qué tipo de ataque puede perseguir un MITM en una comunicación basada en SSL simple con MA-SSL?"

    
pregunta Matteo 12.01.2012 - 09:45
fuente

1 respuesta

4

Razón 1 Un tipo de ataque contra el que una conexión SSL autenticada mutuamente protegería es el robo de credenciales XSS.

Las conexiones cifradas SSL típicas solo autentican el servidor. Para autenticar al cliente, el usuario ingresa su nombre de usuario / contraseña. Por lo general, entonces, la identificación de la sesión del usuario se utiliza para mantener esa conexión autenticada con el servidor.

Un ataque XSS podría robar esa identificación de sesión y enviarla al atacante. El atacante luego usa ese ID de sesión para obtener acceso a la cuenta del usuario sin necesidad de una contraseña.

MA-SSL protegería contra esto ya que el cliente se autentica (probablemente con un certificado de cliente) y no se requiere identificación de sesión.

Razón 2 Otra razón para MA-SSL es que con el despliegue tradicional de SSL (server auth by cert, client auth by password), si un servidor puede engañar al cliente para que crea la autenticidad de el servidor (por ejemplo, escribir mal el dominio con un solo carácter y registrar un certificado válido), cuando el cliente está autenticado, el servidor ahora tiene la capacidad de suplantar al cliente. Los protocolos de MA basados en certificados son mucho más fáciles de diseñar de tal manera que el servidor no puede hacerse pasar por el cliente después de una autenticación exitosa del cliente.

NOTA: el uso de MITM en la cita que publicaste parece incorrecto.

    
respondido por el mikeazo 12.01.2012 - 13:52
fuente

Lea otras preguntas en las etiquetas