¿Cómo puede un certificado SSL vencido hacer que el servidor y / o el cliente sean vulnerables a los ataques MITM? [duplicar]

2

Cuando veo la advertencia en mi navegador acerca de "Certificado no válido" o "Certificado no confiable", es posible que tenga dudas sobre un ataque MITM en mi red. ¿Debo tener la misma preocupación cuando veo que el certificado caducó? Como sé, sucede solo cuando el servidor no renovó su certificado, y solo muestra que el servidor puede usar estándares de seguridad antiguos. ¿Debería preocuparme por algo más que esto?

    
pregunta Pilfility 29.11.2017 - 23:24
fuente

2 respuestas

6

Si el certificado ha caducado (por ejemplo, después de dos años), esto significa que un atacante potencial tenía al menos dos años de tiempo disponible para la fuerza bruta o para atacar la clave. De acuerdo, esto significa más riesgo que cuando el certificado tiene solo unos meses, pero con buenas claves todavía no debería haber prácticamente ningún aumento repentino de riesgo en el momento de su vencimiento. Sin embargo, este aspecto no debe ser descartado. (Además, los certificados antiguos pueden haber sido producidos en los viejos tiempos de firmas menos seguras)

Pero lo que es más importante, cuando una clave que aún está activa se ve comprometida, este hecho puede publicarse mediante revocación (por ejemplo, CRL o OSCP). Si una clave se compromete después de su vencimiento, esto no se hace (simplemente porque sería un desperdicio de recursos rastrear esos casos cuando los certificados no son válidos al vencimiento).

De hecho, puede darse el caso de que el propietario haya renovado el certificado, pero lo que está viendo es un sitio falso creado por un MITM.

Entonces, sí, debería estar lo suficientemente preocupado (y preocupado como si fuera un sitio de importancia, como un sitio bancario o una tienda) y tal vez informar al propietario.

    
respondido por el Hagen von Eitzen 29.11.2017 - 23:33
fuente
-1

En su mayoría es un problema de confianza.

Si el cliente confía en certificados inválidos o caducados y está acostumbrado, ¿qué le hace distinguir entre un certificado válido caducado / inválido de otro malicioso? Probablemente haga clic sin leer "sí" a todas las preguntas ...

También si no estás siguiendo las reglas / estándares, ¿por qué implementarlas? ¿Para mantener el tráfico seguro? Pero, ¿por qué sus clientes deberían confiar en que son seguros si no le importan los estándares?

    
respondido por el Hugo 30.11.2017 - 04:38
fuente

Lea otras preguntas en las etiquetas