¿Qué amenazas pueden provenir de un Certificado desactualizado en una LAN privada?

Navega tus respuestas
4

En nuestra empresa, usamos una LAN "aproximadamente 1,000 usuarios", servida con servidores internos que incluyen correo electrónico, DNS y muchos servidores web.
Cada vez que accedo a cualquiera de los sitios de la red, recibo un mensaje sobre un certificado desactualizado. Cuando hablé con su administrador de red, dijo que está bien agregar una excepción a mi navegador y continuar.

Estoy al tanto de posibles ataques MITM, pero como usuario normal, ¿qué debo hacer para asegurar mi privacidad, especialmente que muchos de esos sitios son para negocios financieros?

gracias.

    
pregunta Emadeddin 05.11.2015 - 11:03
fuente

2 respuestas

1

Un X.509 tiene varios usos en el contexto de la navegación web, entre otros, la capacidad:

  • para el cliente (usuario) para verificar con una entidad "confiable" que efectivamente emiten ese certificado al servidor que lo reclama. Esta comprobación es bastante subjetiva (y de alguna manera menos para Certificados de validación extendida ) pero no hay nada mejor a partir de ahora.
  • para el servidor para verificar el cliente de conexión. Rara vez se usa para la navegación "humana", pero es común (o al menos más) para la comunicación de servidor a servidor.

Puede usar cualquiera de ellos, o ninguno, pero lo que siempre se implementará es un túnel seguro y encriptado entre su navegador y el servidor de destino.

Esto significa que si sabe de alguna manera que el servidor al que está apuntando es el correcto, podría descartar las alertas del navegador. Solo le informan que lo que se conecta no es lo que se afirma en el certificado, o que esta información no ha sido verificada por un tercero (ambos confían). La seguridad técnica de la conexión (cifrado) no se ve afectada.

La caducidad de un certificado (o la inexactitud de otra información que posee) invalida su "confianza" pero no la parte de cifrado. Tu conexión sigue siendo segura. Si el certificado en sí era inseguro (templado con, por ejemplo), entonces no podría configurar una conexión en absoluto.

    
respondido por el WoJ 06.11.2015 - 14:36
fuente
1

Un certificado caducado no significa necesariamente que sea peligroso. Para mí, hay tres razones principales para tener fechas de caducidad en los certificados:

  1. Si un atacante intentaba romper la firma en el certificado y hacer un certificado falso, ese es el tiempo mínimo que necesitan si tiran mucho dinero al romperlo.

  2. Para evitar que los tamaños de las bases de datos crezcan sin control, la mayoría de las Autoridades de certificación (CA) no hacen un seguimiento Información de revocación de los certificados vencidos. Eso significa que si alguna vez el certificado es hackeado, no hay forma de que usted o su navegador lo descubran.

  3. Por lo tanto, la CA que emitió el certificado puede cobrar a su compañía por un nuevo certificado cada año.

Conclusión: A menos que los servidores internos de su empresa sean un gran objetivo para los piratas informáticos, probablemente está bien para seguir confiando en el certificado caducado. Dicho esto, antes de agregar una excepción, realice la diligencia debida y observe el certificado en su navegador y asegúrese de que 1) el sitio o servidor al que fue enviado tiene sentido para su empresa, y 2) el La CA que se emitió desde es la misma que utiliza su empresa (pregunte a su personal de TI).

    
respondido por el Mike Ounsworth 06.11.2015 - 15:42
fuente

Lea otras preguntas en las etiquetas

¿Se beneficia de tener múltiples módulos DH de la misma longitud? Ayuda a comprender el PCI-DSS cuando se utiliza el cifrado basado en contraseña de las claves generadas automáticamente