¿Le parece seguro el siguiente flujo de datos?

4

Entiendo el concepto básico de SSL pero tal vez me esté perdiendo el punto. Por favor, ¿podría alguien echar un vistazo a la siguiente parte de un registro de prueba a un servidor y decirme si parece seguro? Lo que me preocupa es que, aunque la devolución de llamada del certificado devuelve "verdadero", se puede ver que se establece en el estado de la política RemoteCertificateNameMismatch.RemoteCertificateChainErrors y menciona una raíz no confiable.

1:07:04 AM: SSL: secure.newsfarm.ams2.highwinds-media.com:   Certificate: [email protected], CN=*.sslusenet.com, OU=sslusenet.com, O=sslusenet.com, L=Phoenix, S=AZ, C=US
9/7/2012 1:07:04 AM: SSL: secure.newsfarm.ams2.highwinds-media.com:   Policy status: RemoteCertificateNameMismatch, RemoteCertificateChainErrors
9/7/2012 1:07:04 AM: SSL: secure.newsfarm.ams2.highwinds-media.com:   Chain status: UntrustedRoot
9/7/2012 1:07:04 AM: SSL: CertificateCallback returns True
9/7/2012 1:07:04 AM: SSL: secure.newsfarm.ams2.highwinds-media.com:   KeyExchange: RsaKeyX (1024 bits)
9/7/2012 1:07:04 AM: SSL: secure.newsfarm.ams2.highwinds-media.com:   Cipher: Aes128 (128 bits)
9/7/2012 1:07:04 AM: Nntp: < highwinds: 200 Welcome to Virgin Media
9/7/2012 1:07:04 AM: Nntp: > highwinds: AUTHINFO USER bnv *******@binverse.com
9/7/2012 1:07:05 AM: Nntp: < highwinds: 381 PASS required
9/7/2012 1:07:05 AM: Nntp: > highwinds: AUTHINFO PASS ***
9/7/2012 1:07:05 AM: Nntp: < highwinds: 281 Welcome to Binverse.com (No Posting)

¿Las consideraciones de seguridad son lo que comprueba la devolución de llamada o hay realmente una discrepancia en el nombre de una raíz no confiable con errores en cadena y la devolución de llamada simplemente devuelve "verdadero" de todos modos?

    
pregunta Simon 12.09.2012 - 23:12
fuente

3 respuestas

2

Aunque los archivos de registro que muestra son relativamente oscuros, se pueden ver algunas cosas malolientes en las primeras líneas:

  • Aparentemente, el servidor con el que se contactó con el nombre secure.newsfarm.ams2.highwinds-media.com responde enviando un certificado destinado a *.sslusenet.com , que no coincide con el nombre del servidor.

  • La parte UntrustedRoot sugiere una cadena de certificados que comienza con un certificado de raíz no confiable, es decir, una cadena que no prueba nada al cliente.

Por lo tanto, es como pasar por alto una advertencia de seguridad en un sitio web HTTPS. Esto es vulnerable a los atacantes activos.

    
respondido por el Tom Leek 13.09.2012 - 13:08
fuente
1

El registro se tomó del diagnóstico de errores dentro del cliente. Comprobó en rotex y encontró esto:

¿Esto tendría en cuenta la diferencia de nombre: 69.16.160.0/21 Puregig AS11588

Nombre de registro base IP Ruta inversa AS ns2.sslusenet.com a 69.16.163.16 Estados Unidos (ninguno) 69.16.160.0/21 Puregig AS11588 HIGHWINDS Network Group, Inc.

¿Por qué seguiría siendo "verdadero" si hubiera un problema? Si lo que dice es cierto, entonces todos los clientes de Usenet que se conectan a un servidor tienen fallas fundamentales en términos de SSL.

    
respondido por el Simon Hagan 13.09.2012 - 19:00
fuente
0

Solo importa si el cliente confía en la raíz.

Lo que esté usando para capturar el tráfico no está configurado para confiar en la raíz. Pero el cliente real, que probablemente es un navegador web, probablemente lo haga.

Si la cadena a la raíz es válida y la raíz es confiable, entonces el cliente la considerará confiable.

Pero su verdadera pregunta: ¿Es seguro el flujo de datos?

Si sabe coloca el certificado y la clave en ese servidor , y sabe que no se ha comprometido , entonces es seguro si la raíz es confiable o no.

Si no lo pusiste allí, entonces es tan seguro como tu definición de "seguro". Necesita confiar en alguien más para haberlo configurado de forma segura. Se supone que una autoridad de certificado raíz le da esa seguridad. ¿Usted (personalmente, no la configuración de la computadora) confía en esa autoridad de certificación?

    
respondido por el bahamat 13.09.2012 - 10:25
fuente

Lea otras preguntas en las etiquetas