Certificado de seguridad inválido del sitio web

Navega tus respuestas
3

En una LAN doméstica, encontré este error en Linux Firefox (una máquina virtual VMware de ubuntu en Win7) y desde el navegador de mi teléfono Android desde un sitio web de compras durante el proceso de pago hace unos días. ¿Podría esto indicar algún tipo de compromiso MITM (por ejemplo, en el enrutador de LAN)? Compromiso de DNS? ¿Podría esto también ser de una de las máquinas de la red de entrega de contenido (CDN) que sirve el contenido de PayPal que está configurado incorrectamente o está comprometido?

  

Esta conexión no es de confianza

     

Usted le ha pedido a Firefox que se conecte de forma segura a www.paypal.com, pero nosotros   no puedo confirmar que su conexión es segura.
  Normalmente, cuando intenta conectarse de forma segura, los sitios presentarán información de confianza.   Identificación para demostrar que vas al lugar correcto.   Sin embargo, la identidad de este sitio no puede ser verificada.

     

¿Qué debo hacer?
  Si normalmente se conecta a este sitio sin problemas, este error podría   significa que alguien está tratando de hacerse pasar por el sitio, y usted no debería   continuar.
  Este sitio utiliza HTTP Strict Transport Security (HSTS) para especificar que   Firefox solo se conecta a él de forma segura. Como resultado, no es posible   para agregar una excepción para este certificado.

     

www.paypal.com utiliza un certificado de seguridad no válido.

     

El certificado solo es válido para los siguientes nombres:
  google.com, * .2mdn.net, * .android.com, * .appengine.google.com (muchos   más nombres ...)

Ejecutando nslookup en la máquina linux

@ 1pm

  

nslookup www.paypal.com
  Servidor: 127.0.1.1
  Dirección: 127.0.1.1 # 53

     

Respuesta no autorizada:
  Nombre: www.paypal.com
  Dirección: 216.58.217.194

Entonces @ 1: 45

  

nslookup www.paypal.com
  Servidor: 127.0.1.1
  Dirección: 127.0.1.1 # 53

     

Respuesta no autorizada:
  www.paypal.com nombre canónico = www.paypal.com.akadns.net.
  www.paypal.com.akadns.net nombre canónico =   ppdirect.paypal.com.akadns.net.
  ppdirect.paypal.com.akadns.net nombre canónico =   wlb.paypal.com.akadns.net.
  wlb.paypal.com.akadns.net nombre canónico =   www.paypal.com.edgekey.net.
  www.paypal.com.edgekey.net nombre canónico =   e3694.a.akamaiedge.net.
  Nombre: e3694.a.akamaiedge.net
  Dirección: 184.86.122.156

¿Qué sería un plan de remediación? ¿Reemplazar el enrutador LAN en casa? ¿Todos los dispositivos en la LAN doméstica también serían sospechosos?

    
pregunta John J 15.10.2015 - 08:47
fuente

1 respuesta

3

Esta es una muy mala. Alguien le entregó este certificado falso con la intención de poder descifrar su conexión HTTPS. Como es paypal.com, es muy probable que el atacante quiera capturar sus credenciales. Esto puede resultar en el saqueo de su cuenta bancaria, por lo que es mejor que no confíe en esta conexión.

Es difícil decir en qué paso de la conexión se realizó el ataque MITM o si de todos modos fue un MITM. También podría ser malintencionado que haya instalado un proxy en su host que reemplaza los certificados reales con los falsos.

Los ataques MITM se pueden realizar en la LAN fácilmente, pero también pueden basarse en la manipulación de su enrutador o de su ISP.

    
respondido por el davidb 15.10.2015 - 09:38
fuente

Lea otras preguntas en las etiquetas

¿Puedo decirle a Linux que no cambie el espacio de datos de un proceso específico? ¿Proxy inverso o balanceador de carga público?