Certificados autofirmados en LAN compartidos con otros [duplicado]

Question

Certificados autofirmados en LAN compartidos con otros [duplicado]

#1 de ThoriumBR (0 votos)

3

Mi WiFi se comparte con mi familia, y mis hermanos tienen amigos que comparten la contraseña de WiFi sin cuidado. Cualquiera de esos invitados podría tener un dispositivo deshonesto y ni siquiera saberlo.

Mi hermano tiene su propia PC y me preocupa la capacidad de mi hermano para mantener su PC limpia.

Tengo servidores que se ejecutan en mi LAN y uso certificados autofirmados para ellos.

Teniendo en cuenta cuántos dispositivos conectados hay en mi LAN que no controlo, ¿significa que mis certificados autofirmados son potencialmente inútiles y mis comunicaciones seguras son potencialmente inútiles?

¿Cómo puedo resolver esto sin necesidad de FQDN y CA == (hablemos de huellas digitales)?

Sé que el primer paso hacia una solución serían las VLAN para contener en contenedores los dispositivos invitados que no son de confianza. Sin embargo, debería haber una manera de confiar con un certificado autofirmado, incluso cuando hay dispositivos no autorizados en la red (ingrese la huella digital).

Realmente quiero entender las huellas digitales y cómo puedo verificar manualmente las claves para saber si hay un MiTM.

man-in-the-middle certificate-authority fingerprint ssl-interception self-signed

pregunta m0p3r 07.06.2018 - 17:28

fuente

1 respuesta

Lea otras preguntas en las etiquetas man-in-the-middle certificate-authority fingerprint ssl-interception self-signed

El spyware disponible comercialmente no se detecta ¿Las variables de entorno para los PaaS web son un mal olor a seguridad?

score 0 · Answer 1

Sus invitados no confiables no pueden socavar la seguridad de su certificado autofirmado solo porque se infectaron con malware. Para que lo engañen y acepte un certificado deshonesto, cualquier atacante debe descargar el certificado de su servidor, crear otro con los mismos valores, ARP-spoof en su computadora y MitM su conexión a su servidor. No es algo que un malware haría por sí mismo.

¿Cómo resolver eso? Cree una CA usted mismo y agregue el certificado de CA a su navegador. De esta manera, incluso si alguien trabajó en el ataque anterior, no funcionará porque su navegador no confiará en su certificado autofirmado.

Este sitio tiene una buena guía, verifique más adelante para obtener información completa. A continuación resumiré:

openssl genrsa -des3 -out myCA.key 2048
openssl req -x509 -new -nodes -key myCA.key -sha256 -days 1825 -out myCA.pem

Ahora tienes myCA.pem , impórtalo en tu navegador y sistema operativo.

Después de eso, crea los certificados y fírmalos:

openssl genrsa -out dev.mergebot.com.key 2048
openssl req -new -key dev.mergebot.com.key -out dev.mergebot.com.csr
openssl x509 -req -in dev.mergebot.com.csr -CA myCA.pem -CAkey myCA.key -CAcreateserial -out dev.mergebot.com.crt -days 1825 -sha256 -extfile dev.mergebot.com.ext

Ahora tendrá 3 archivos, la clave privada es el .key , el certificado es .crt y la solicitud de certificado es el .csr y no lo necesita después de crear el certificado. Instale .key y .crt en sus servidores y estará listo.