¿Es posible engañar a una CA para que firme un certificado interceptando el correo electrónico de validación de dominio SSL?

4

A mi entender, el certificado de validación de dominio se verifica al recibir un correo electrónico en algunas direcciones de correo electrónico especiales del dominio (por ejemplo, [email protected], [email protected]) o al enviar la dirección de correo electrónico designada en el registro del nombre de dominio registro (la información publicada en WHOIS).

Desde muchos servidores de correo electrónico de proveedores de servicios de correo no importantes y solo algunos proveedores de correo electrónico admiten STARTTLS. Por lo tanto, es posible interceptar correos electrónicos enviados a estos proveedores de correo electrónico vulnerables (¿qué tan difícil sería?). ¿Es el certificado validado de dominio algo inútil si la dirección de correo electrónico de contacto designada del sitio web está alojada en un proveedor de correo electrónico menos seguro (por ejemplo, servidores de correo electrónico autogestionados en particular)?

¿Qué evitaría que me emitieran un certificado SSL válido firmado por una CA reconocida para un dominio que no poseo al realizar un MITM pasivo / activo en un proveedor de servicios de correo electrónico?

Supongo que si controlas el DNS autoritario, entonces también controlas la Validación del Dominio por definición, por lo que no es realmente una vulnerabilidad. Sin embargo, los cachés de DNS son otra cuestión, ¿cómo podría una CA asegurarse de que sus entradas de DNS provienen de una fuente legítima, especialmente si el propietario del sitio no hace uso de DNSSEC?

    
pregunta Lie Ryan 16.02.2015 - 13:45
fuente

1 respuesta

3

Entonces, sí, si el operador de www.dodgy-domain.elbonia lista una dirección de contacto de WHOIS de [email protected] , o si se puede convencer a una CA para que envíe un correo electrónico de verificación a [email protected] , y ese operador no haya configurado SSL aún no se ha recibido asistencia por correo electrónico o la CA no tiene soporte SSL saliente para el correo electrónico, varias partes podrían potencialmente interceptar ese correo electrónico, incluido el Ministerio de Comunicaciones Corruptas de Elbonia o alguien con un toque en el enlace del módem de línea directa. al sitio del operador.

También hay un problema con la gallina y el huevo, porque no puede recibir correos electrónicos protegidos por STARTTLS sin un certificado en su servidor de correo.

Sin embargo, eso no es necesariamente un problema para Internet en su conjunto, o para la mayoría de los dominios, o para un dominio típico. Google, Yahoo !, Microsoft, mail.com , Apple es compatible con STARTTLS, y muchos de los dominios, dominios personales o dominios de pequeñas empresas recientemente establecidos tendrán direcciones de WHOIS de uno de esos servicios en lugar del dominio en sí. Otras organizaciones utilizan Google Apps o Exchange alojado para su correo entrante, lo que significa que obtienen la misma protección STARTTLS. En particular, markmonitor.us , que maneja el registro de dominios en nombre de muchas firmas de Fortune 500 y otras grandes organizaciones, usa Google Apps, por lo tanto, admite STARTTLS.

Además, un atacante pasivo (que podría leer el mensaje pero no bloquear su envío) dejaría el correo electrónico de "confirmación" en el buzón de correo de destino, lo que implica cierto riesgo de que el administrador real note el correo electrónico. La CA, cancele el certificado, advierta públicamente a sus usuarios e informe al respecto a la policía.

Tenga en cuenta que al menos un CA no emite certificados DV en parte debido a la preocupación por el posible hombre Ataques en el medio.

    
respondido por el david 08.03.2016 - 20:43
fuente

Lea otras preguntas en las etiquetas