Este certificado SSL cubre docenas de sitios, incluyendo raw.github.com, * .etsy.com, pypi.python.org, etc. ¿Es esto seguro? [duplicar]

Question

Este certificado SSL cubre docenas de sitios, incluyendo raw.github.com, * .etsy.com, pypi.python.org, etc. ¿Es esto seguro? [duplicar]

#1 de sebastian nielsen (0 votos)

4

En / r / programación, Daneel_Trevize y encontré a una persona muy segura. que parece cubrir todo lo siguiente:

a.ssl.fastly.net, * .a.ssl.fastly.net, fast.wistia.com, purge.fastly.net, mirrors.fastly.net, * .parsecdn.com, * .fastssl.net , voxer.com, www.voxer.com, * .firebase.com, sites.yammer.com, sites.staging.yammer.com, * .skimlinks.com, * .skimresources.com, cdn.thinglink.me, * .fitbit.com, * .hosts.fastly.net, control.fastly.net, * .wikia-inc.com, * .perfectaudience.com, * .wikia.com, f.cloud.github.com, * .digitalscirocco .net, * .etsy.com, * .etsystatic.com, * .addthis.com, * .addthiscdn.com, fast.wistia.net, raw.github.com, www.userfox.com, * .assets-yammer .com, * .staging.assets-yammer.com, asset.huggies-cdn.net, orbit.shazamid.com, about.jstor.org, * .global.ssl.fastly.net, web.voxer.com, pypi .python.org, * .12wbt.com, www.holderdeord.no, secured.indn.infolinks.com, play.vidyard.com, play-staging.vidyard.com, secure.img.wfrcdn.com, secure.img .josscdn.com, * .gocardless.com, widgets.pinterest.com, * .7digital.com, * .7static.com, p.datadoghq.com, new.mulberry.com, www.safariflow.com, cdn.contentful .com, t ools.fastly.net, * .huevosbuenos.com, * .goodeggs.com, * .fastly.picmonkey.com, * .cdn.whipplehill.net, * .whipplehill.net, cdn.media34.whipplehill.net, cdn. media56.whipplehill.net, cdn.media78.whipplehill.net, cdn.media910.whipplehill.net, * .modcloth.com, * .disquscdn.com, * .jstor.org, * .dreamhost.com, www.flinto. com, * .chartbeat.com, * .hipmunk.com, content.beaverbrooks.co.uk, secure.common.csnstores.com, www.joinos.com, staging-mobile-collector.newrelic.com, * .modcloth. net, * .foursquare.com, * .shazam.com, * .4sqi.net, * .metacpan.org, * .fastly.com, wikia.com, fastly.com, * .gadventures.com, www.gadventures. com.au, www.gadventures.co.uk, kredo.com, cdn-tags.brainient.com, my.billspringapp.com, rvm.io

Por lo que puedo decir, el certificado existe porque DigiCert autorizó a Fastly CDN a representarse a sí mismo como todos los sitios anteriores. Por extraño que parezca, el certificado se encontró en enlace a pesar de que CNN no está en la lista anterior.

No puedo averiguar cómo enlazar directamente con el certificado, pero actualmente está disponible en enlace . Su número de serie es 06: 28: 1D: 36: 75: B4: 1F: CC: B3: FF: 18: FA: EC: F8: FD: DF y su huella dactilar SHA1 es 98: 97: 03: 4D: AD: 78: 62: 48: 5A: 8E: 24: 67: ED: E8: 38: 21: 3E: E2: 4F: 47.

¿Estamos leyendo esto correctamente? Si es así, ¿es seguro que estos sitios compartan un certificado como ese?

tls certificates

pregunta David J. Harris 18.09.2016 - 17:24

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls certificates

¿Cómo diferenciar entre el tráfico Bluetooth cifrado y no cifrado al usar Wireshark? ¿Hay alguna forma de realizar el almacenamiento de Samba cifrado por usuario?

score 0 · Answer 1

La razón por la que el certificado no es válido para cnn.com es porque cnn.com no está en la lista, tal vez debido a retrasos en el procesamiento de la suscripción de CNN para Fastly. No es porque el certificado esté revocado.

Veo un gran riesgo para la seguridad de esto, y esto es si el operador de CDN crea un acuerdo con una persona que no es de confianza.

Digamos que Phisher crea una cuenta con Fastly. Crea un dominio de phishing como lhglfglhggddlghd.com y realiza los acuerdos necesarios con la CA para agregar el dominio al certificado de Fastly.

Luego carga una página de inicio de sesión de github phish en el CDN, y posiblemente obtiene una url como lhglfglhggddlghd.com/fe9f667fe9fe6f8ecd7a93332326768

Luego envía un correo electrónico de phish con: raw.github.com/fe9f667fe9fe6f8ecd7a93332326768

y la gente caerá en la trampa al 100%, ya que tanto el dominio como el certificado coincidirán e incluso una persona con experiencia en informática pensará que es genuina. (Tenga en cuenta que los CDN a menudo utilizan Anycast y deben optimizar bien sus servidores, por lo que a menudo ni siquiera implementan ningún host: comprueban, en vez de eso, le dan a cada recurso una URL única)

Pero creo que han mitigado el problema al implementar un KYC fuerte antes de inscribir a alguien como cliente para Fastly. Por ejemplo, solo las empresas bien examinadas y buenas que tienen una necesidad comercial de usar Fastly como CDN serán aceptadas como clientes.