¿Tengo un MITM actual?

Navega tus respuestas
25

Pido disculpas por la tersitud de esta pregunta; Tengo un problema. Google.co.uk está fallando su HSTS en mis navegadores.

¿Setratadeunproblemacongoogle.co.ukoessoloyo?¿HayalguiendemedianaadministraciónenmiconexiónaInternet?

Aunquepuedoencontrarmuchossitios que me dicen que google.co.uk está funcionando , no he podido para establecer si el problema HSTS es yo o Google. Sospecho que soy yo, pero me gustaría una confirmación de terceros.

PD: Esto aparece hasta ahora solo para google.co.uk, y desafortunadamente snuck.me no parece estar funcionando para aclarar otros Los certificados de sitios no HSTS tampoco.

Actualización:

Después de diez minutos de inactividad, google.co.uk ahora funciona de nuevo, sin embargo, al usar snuck.me, encuentro lo siguiente:

Huella digital según el navegador:

  

D1: 8F: DE: 83: 4A: 68: 88: 32: DD: CF: C8: 6B: 0C: 74: 94: 33: 02: 75: BC: 43

huella digital según snuck.me:

  

42: 38: CE: 6C: AA: C5: FE: 13: A0: 5A: 56: 88: F3: F2: E7: E4: D7: 14: 07: DA

¿Esto confirma que tengo un MITM?

    
pregunta Martin 12.06.2017 - 21:15
fuente

2 respuestas

40

Su navegador rechazó un certificado, pero esto no tiene que ser causado por un ataque.

  

Google.co.uk está fallando su HSTS en mis navegadores.

La advertencia que ve no indica un problema con HSTS en particular. Solo dice Firefox: "El certificado no es válido. Y, por cierto, no le permitiremos agregar una excepción manual porque el sitio usa HSTS". 1

Hay muchas razones plausibles por las que recibió un certificado inválido por un corto período de tiempo. Podría ser una trampa en su ISP, un problema con su enrutador, la intercepción de SSL por un portal cautivo (como lo menciona @FedericoPoloni) o, en teoría, un pobre intento de ataque MITM. El primer paso de la investigación sería verificar qué certificado recibió realmente.

Después, no comparaste correctamente los certificados: te conectaste a www.google.co.uk pero ejecutaste la prueba de terceros contra google.co.uk . Estos son dominios técnicamente diferentes que sirven certificados diferentes según el nombre del servidor indicado.

Aquí estoy probando cada -servername con openssl y deberías reconocer ambas huellas digitales: 

$ openssl s_client -servername www.google.co.uk -connect www.google.co.uk:443 < /dev/null 2>/dev/null | openssl x509 -fingerprint -noout -in /dev/stdin
SHA1 Fingerprint=D1:8F:DE:83:4A:68:88:32:DD:CF:C8:6B:0C:74:94:33:02:75:BC:43
$ openssl s_client -servername google.co.uk -connect www.google.co.uk:443 < /dev/null 2>/dev/null | openssl x509 -fingerprint -noout -in /dev/stdin
SHA1 Fingerprint=42:38:CE:6C:AA:C5:FE:13:A0:5A:56:88:F3:F2:E7:E4:D7:14:07:DA

1 HSTS (HTTP Strict Transport Security) es un encabezado que los servidores web pueden enviar para indicar que los clientes nunca deben conectarse al sitio a través de HTTP simple (durante un período de tiempo específico). Su navegador recogió ese encabezado durante una de sus visitas anteriores a www.google.co.uk o lo cargó previamente. Uno de los efectos secundarios del encabezado es que la interfaz de usuario no le permitirá ignorar las advertencias de los certificados al agregar una excepción.

    
respondido por el Arminius 12.06.2017 - 21:36
fuente
1

Comprueba la hora en tu sistema. A veces me sale este error cuando mi reloj (hora del sistema) es incorrecto o cuando se produce una sincronización de tiempo perdido.

    
respondido por el HM3RAQ 14.06.2017 - 06:43
fuente

Lea otras preguntas en las etiquetas

¿Con qué facilidad se anulan los keyloggers? ¿Puedo restringir una Autoridad de Certificación para que firme solo ciertos dominios?