cuáles son los riesgos asociados con una cadena de certificados incompleta

2

¿Cuáles son los riesgos reales asociados con una cadena de certificados incompleta

Leí acerca de las cadenas de certificados y creo que entiendo el concepto, pero parece que no entiendo los riesgos potenciales, por ejemplo, SSLLabs verifica si una cadena de certificados está incompleta pero aún califica los certificados con cadenas incompletas muy altamente ( A ) así que esto me implica que la cadena no parece ser tan importante, mientras que mi entendimiento es que la cadena es un problema de confianza y por lo tanto eso debería ser muy importante.

¿Qué bucles de seguridad pueden afectarme si no tengo una cadena de certificados completa?

Actualización:

Al revisar mi fuente esta mañana, encuentro que el problema de la cadena de certificados se ha resuelto; Prevly declaró:

  

Certificados proporcionados 2 (2936 bytes)
  Problemas con la cadena Cadena incompleta

Pero esta mañana dice:

  

Certificados proporcionados 3 (4716 bytes)
  Problemas con la cadena Ninguno

Esto quizás porque le conté a la compañía acerca de esto, o tal vez es simplemente una solución al cloudhosting, o algún otro problema de la tercera parte.

    
pregunta Martin 07.07.2017 - 23:52
fuente

1 respuesta

4

Los certificados de cadena faltantes no son un problema de seguridad por sí mismos. Eso significa que solo porque faltan certificados de cadena, un atacante no puede montar ataques que no pudo hacer cuando estos certificados estaban presentes. Pero, los certificados de cadena faltantes pueden causar problemas indirectos que son relevantes para la seguridad.

Los certificados de cadena faltantes a menudo significa que el interlocutor no puede verificar el certificado y, por lo tanto, no logra establecer la conexión HTTPS. Mientras que varios navegadores de escritorio intentan solucionar estos problemas mediante el uso de certificados de cadena almacenados en caché o la descarga de certificados, dicho comportamiento generalmente solo está restringido a estos navegadores. La mayoría de las otras aplicaciones simplemente no podrán conectarse. En la mayoría de los casos, fallar en la conexión es simplemente molesto. Pero en algunos entornos, esto puede ser un problema grave si no se intercambian datos importantes debido a esto.

Además, algunos desarrolladores intentan solucionar este tipo de problemas al deshabilitar la validación de certificados. Desafortunadamente, hay demasiadas respuestas y comentarios en stackoverflow.com que sugieren simplemente deshabilitar la validación en tales casos sin señalar los problemas de seguridad que esto causa. Porque, si bien esto parece solucionar el problema actual en el sentido de que la conexión TLS funciona, también posibilita los ataques simples en el medio y por lo tanto crea un gran problema de seguridad.     

respondido por el Steffen Ullrich 08.07.2017 - 00:25
fuente

Lea otras preguntas en las etiquetas