¿Es seguro HTTPS a través de Wi-Fi público con un certificado vencido?

20

Me estoy hospedando en un hotel con Wi-Fi público gratuito. Para obtener acceso a Internet tuve que visitar una página web y aceptar los términos y condiciones. Este sitio web tiene un certificado de seguridad, pero expiró hace más de un año.

Evidentemente, esto significa que no puedo verificar la identidad de la página de inicio de sesión para el Wi-Fi. Si paso a la página de todos modos, ¿esto compromete la seguridad de otros sitios web HTTPS de alguna manera (por ejemplo, habilitando Ataques MITM )?

He leído otros subprocesos en HTTPS a través de Wi-Fi público, y parece que está bien, siempre y cuando verifique la URL y continúe solo si los certificados del sitio web son confiables. Pero, ¿el certificado vencido / no confiable en la página de inicio de sesión presenta algún riesgo de seguridad adicional?

    
pregunta Alex 14.03.2016 - 07:54
fuente

4 respuestas

20

Por lo tanto, fue redirigido a una página de portal cautiva que tenía un certificado caducado.

En teoría, esto pone en riesgo solo los datos que transfieres a través de esta conexión en particular, es decir. aceptando las reglas y eventualmente sus datos personales o de pago si tuviera que proporcionar alguna. De hecho, el portal cautivo no tuvo que usar la conexión https en absoluto y probablemente no lo notaría.

No introduce riesgos adicionales al hecho de que ya está utilizando una red pública, potencialmente insegura, con todas sus consecuencias.

Tenga en cuenta que estuvo en la red insegura desde el momento en que estableció la conexión, incluso antes de abrir un navegador y fue redirigido al portal.

    
respondido por el techraf 14.03.2016 - 08:12
fuente
9

Un certificado caducado solo significa que el certificado no se renovó tan pronto como debería haber sido. La renovación del certificado es una medida preventiva en caso de que la clave privada sea robada sin que nadie lo sepa. Reemplazar un certificado en intervalos regulares reduce la utilidad de una clave robada. Pero las fechas de vencimiento de los certificados se pueden elegir de manera bastante arbitraria. El riesgo de que alguien robara el certificado para hacerse pasar por el titular del certificado aumenta con el tiempo, pero ese riesgo no se dispara repentinamente el día en que expira el certificado.

Eso significa que las advertencias de caducidad de la certificación son un signo de malas prácticas de seguridad en el lado del propietario del sitio web, pero cuando el certificado se revisa bien de lo contrario y elige aceptarlo de todos modos, el cifrado es tan fuerte como el válido. .

    
respondido por el Philipp 14.03.2016 - 10:14
fuente
0

HTTPS no es especialmente seguro a través de WiFi pública, independientemente del certificado, gracias en parte al Sr. Moxie Marlenspike SSL Strip.

    
respondido por el Hack-R 14.03.2016 - 19:06
fuente
0

Ni el certificado vencido ni el vencido son menos seguros a menos que estén comprometidos. La seguridad del certificado se mide en hash type + size, key algo + keyize y la capacidad de verificarlo. Si la fecha ha caducado, no caduca el certificado de CA que lo ha firmado, por lo que:

  • todavía se puede verificar
  • los hashes tienen la misma fuerza, así que los criptográficos también: la misma clave, el mismo algo

tienes una advertencia de caducidad. Es poco importante, pero está bien. Si el certificado permanece sin compromiso, está bien. Y si un certificado está comprometido, directa o indirectamente, se convierte en una basura inútil independientemente de de la fecha de vencimiento.

    
respondido por el Alexey Vesnin 15.03.2016 - 14:38
fuente

Lea otras preguntas en las etiquetas