En las noticias que vienen de Irán, escuchas que Irán ha logrado hacer certificados de SSL falsos, para que puedan encontrar las credenciales de las cuentas de gmail de las personas.
Algunos analistas dicen que esto es posible pero difícil, me pregunto por qué es difícil, dónde está la dificultad, ¿por qué su ISP no le puede hacer eso?
Déjame explicarte a través de un ejemplo práctico.
Hay un conjunto de Autoridades de Certificación (CA) en las que los navegadores confían implícitamente. Puede ver la lista de CA confiables en su navegador. Por ejemplo. Las CA confiables para el navegador Chrome se pueden encontrar en "Menú de Herramientas > Preferencias > Debajo de la Capucha > HTTPS / SSL (Administrar Certificados) > pestaña Autoridades".
Por lo tanto, el certificado que mail.google.com presenta en su navegador está 'firmado' por Thawte SGC CA. Esta CA es de confianza implícita por el navegador. Estas CA emitirán certificados solo después de una verificación completa (y manual).
Tú y yo no podemos engañar a Thawte o Verisign para que nos firmen un certificado falso para Google. Aunque estos casos ocurren pero son raros y en su mayoría requieren ayuda de un inider.
Ahora, en su propia máquina, puede seguir adelante y crear certificados indicando que son de Google. com. Sin embargo, estos certificados son "autofirmados" y el navegador no confiará en ellos porque la CA (usted) no se encuentra en su lista de certificados de confianza. En este caso, el navegador le mostrará la advertencia del certificado.
Por lo tanto, ahora para responder a su pregunta, hay un par de formas en que se crean (o se ponen a trabajar) los certificados falsificados:
Tal como lo mencioné anteriormente, una persona puede engañar a una CA (en la que confía el navegador) para emitirle un certificado para un sitio que no le pertenece. Por esta razón, las personas a menudo eliminan manualmente las CA confiables de su lista. Dios sabe qué procedimientos hace ese AC en ese país nunca escuchado. He visto personas paranoicas eliminando CA de la lista de confianza de los navegadores.
La CA es hackeada (o está hecha para emitir certificados falsos). En tal caso puede emitir certificados en tu voluntad. Por no mencionar, estas CA se cierran inmediatamente una vez que se encuentra esto.
También puede tener un certificado falso "autofirmado" de google.com y aún así puede omitir la comprobación de seguridad del navegador si agrega explícitamente su propia CA a la lista de confianza del navegador. Las empresas pueden hacerlo. He visto (y trabajado en) compañías donde lo hacen abiertamente por "razones de cumplimiento". Ya que sus máquinas de escritorio están bajo su control, instalan su propia CA en la tienda de confianza de su navegador y presentan un certificado de gmail falso en el navegador, en el cual el navegador confía y con gusto intercepta TODAS sus conversaciones / correos electrónicos.
En todos los casos, ¿qué obtiene al falsificar un certificado? Puede MITM (Man in the middle) el servidor y la computadora de los usuarios y descifrar la sesión SSL.
He dejado muchos matices más finos de la creación de certificados en mi descripción anterior para presentar una imagen amplia. Puede leer sobre Cert Patrol y perspectivas para ver cómo puede evitar ser víctima de un certificado falso, incluso si su CA está en la lista de confianza de los navegadores.
También puede leer sobre fijación de certificados que puede ayudar a evitar este tipo de secuestros de certificados.
No es técnicamente difícil crear un certificado SSL para cualquier cosa que desee; esa parte es trivial.
La parte difícil es que necesita que esté firmado o firmado por algo autorizado y firmado por uno de los conjuntos de certificados raíz de confianza que, por ejemplo, contiene su navegador web.
Esos pertenecen a las diversas autoridades de certificación y están protegidos por una autenticación criptográfica fuerte, lo que significa que no es computacionalmente práctico que alguien cree un certificado en el que confíe su navegador sin acceso a material secreto. La autoridad de certificación protege.
Entonces, el truco no es hacer el certificado, es hacer que alguien confíe en él.
También, puede echar un vistazo al artículo sobre Digi Notar, hubo cierta agitación el año pasado después de que hubo una violación y se distribuyeron certificados falsos. El problema con estos, es que las computadoras están diseñadas para confiar en los certificados por las CA calificadas, por lo que si puede obtener un certificado, es difícil asegurarse de que todas las computadoras en todo el mundo se vean revocadas.
Lea otras preguntas en las etiquetas tls