Si su empresa / universidad requiere que instale certificados raíz, ¿qué lo protege del hombre en los ataques medios?

Navega tus respuestas
3

Digamos que estoy en una red de una universidad (o empresa) que requiere que instales un certificado raíz para conectarte a su sitio web. Ahora digamos que confías en estas personas pero no en nadie más. ¿Hay algo que lo proteja de que algo está mal con el certificado del sitio web con el que se conecta? Por ejemplo, debido a un hombre en el ataque medio.

Así que visualmente así es como se "supone" que es 

      cert1               cert 2 
server -> company network  ->  user

pero que impide esto: 

         cert 1               made up cert                  cert 2
   server ->  man in the middle     ->      company network -> user

después de todo, parece que la red de la empresa no puede juzgar correctamente si un certificado falso debería ser confiable o no (podría ser que el usuario sea el propietario de la empresa y que haya firmado por sí mismo o que este sea un banco que debería ser certificado por una autoridad de confianza y ahora no lo es)?

    
pregunta Thijser 16.02.2015 - 12:10
fuente

2 respuestas

3

Suponiendo que no sean malvados, su firewall MITM generalmente tendrá el mismo conjunto de certificados raíz de confianza que su sistema operativo, por lo que cualquier firewall MITM rechazará cualquier ataque MITM real . / p>

No es posible "agregar" su certificado al final. Generarán directamente un nuevo certificado para el sitio web de destino firmado con su certificado raíz.

    
respondido por el Monstieur 05.03.2015 - 10:24
fuente
2

En este caso, cert 1 se conoce como el certificado raíz. Lo descargas e instalas desde la web de la universidad. El certificado del servidor es cert 2, que es lo que el sitio web de la universidad presenta en su navegador en cada visita. cert 1 se utiliza para firmar cert 2.

Cuando se conecte al servidor de la universidad a través de SSL, se le presentará cert 2 y su navegador verificará su autenticidad. Si fuera un intermediario, se le presentaría un certificado inventado que no está firmado por el certificado 1. Por lo tanto, su navegador presentaría una advertencia de que el certificado del servidor no es de confianza. Si elige continuar, entonces no es un problema con la arquitectura sino con el usuario.

    
respondido por el limbenjamin 16.02.2015 - 14:22
fuente

Lea otras preguntas en las etiquetas

Revocación y regeneración en FIDO U2F / FIDO UAF Prevención de fraude de tarjeta de crédito: ¿por qué no se usan cosas simples?