¿Puede un atacante reutilizar la clave privada SSL robada para recrear ese dominio en su servidor?

3

Diga mi dominio ( enlace ) La clave privada SSL se ha robado y no estaba protegida por una frase de contraseña.

  1. ¿Puede el atacante usar esa clave y el certificado para alojar la misma dominio en un servidor diferente, si es que puede convencer al servidor DNS apunta a la nueva dirección IP del servidor.
  2. ¿Habrá alguna alerta al final de los usuarios?

Solo quiero saber si el caso anterior es posible, soy consciente de cómo puede usar eso para descifrar el tráfico.

    
pregunta Kevin Parker 31.01.2013 - 06:19
fuente

4 respuestas

6

Sí, si alguien roba su clave privada, entonces puede crear un servidor falso con el mismo nombre, y los usuarios no verán nada incorrecto (siempre que el atacante redireccione las conexiones a su servidor, por ejemplo, modificando el DNS) .

No, los usuarios no serán advertidos.

Desde el punto de vista de la CA y el navegador del usuario, un servidor falso con una clave robada no es diferente de un servidor web que se está moviendo a otra dirección IP, por ejemplo. como parte de un equilibrio de carga basado en DNS . Cuando tiene un servidor y un certificado, el certificado no se bloquea de ninguna manera a la dirección IP que usó actualmente; los navegadores solo verifican que el servidor nombre aparezca en el certificado (consulte RFC 2818 , sección 3.1) . Usted es libre de copiar su clave privada y certificados a otro servidor con otra dirección IP, y hacer que el DNS apunte a esa nueva dirección. La única diferencia con el escenario de ataque que describe (robo de llaves) es que esta vez realmente lo quiere. Si acepta o no el traslado de IP, el cliente no puede verificarlo y, en consecuencia, el cliente no lo verifica de ninguna manera.

Proteja su clave privada y, si la roban, informe el robo a su CA, que luego revocará el certificado.

    
respondido por el Thomas Pornin 31.01.2013 - 13:26
fuente
6

Como información adicional a las otras respuestas:

Suponiendo que sabe que un atacante le ha robado su clave y se ha contactado con su CA y le ha pedido que revoque el certificado, se pueden activar las alertas del navegador.

Los navegadores modernos verifican si un certificado es válido mediante el uso de OCSP (Protocolo de estado de certificación en línea) y se avisa a los usuarios cuando acceden a sitios con certificados revocados.

    
respondido por el Dinu S 31.01.2013 - 13:45
fuente
2
  1. No

Si usted puede usar esa clave y el certificado para alojar ese dominio en su servidor luego, el atacante también puede usar esa clave y el certificado para alojar el mismo dominio en un servidor diferente.

Eso es si puede convencer al servidor DNS de que apunte a la nueva dirección IP del servidor o puede envenenar algún servidor DNS en alguna red (lo cual es más fácil que la mayoría de la gente piensa) y se dirige solo a los usuarios de esa red, o falsifica las respuestas de DNS en algunas redes de área local (LAN) y los usuarios de la zona que están cerca (también es fácil).

Sus usuarios no solo no serán advertidos. De hecho, obtendrán la información de que la conexión es segura: el candado, la barra de direcciones verde, el nombre de la empresa y todo eso.

    
respondido por el Zed 31.01.2013 - 13:30
fuente
1

Depende de su certificado SSL. La mayoría de los certificados SSL solo están 'bloqueados' a un dominio específico ( 'Certificado SSL validado del dominio' ), por lo que si un atacante podría hacer lo que usted describe, convencer a los servidores DNS de que apunten a una nueva dirección IP sí, el atacante podría usarlo para falsificar su sitio web como una ubicación de phishing. Algunos 'certificados SSL de una sola dirección IP' también pueden ser está bloqueada en una IP específica . En ese caso, el escenario que mencionó no pudo ocurrir y se notificará al usuario que hay un problema con el certificado SSL utilizado.

    
respondido por el TildalWave 31.01.2013 - 06:59
fuente

Lea otras preguntas en las etiquetas