¿Qué puede hacer un atacante con una clave privada SSL robada? ¿Qué debe hacer el administrador de la web?

Vectores de ataque

Si un atacante descubre su clave privada SSL, usted es mínimamente vulnerable a los siguientes ataques:

1) Tráfico de escuchas

Para el atacante, todo lo que se envía a través de SSL se puede descifrar y, por lo tanto, debe considerarse como un texto claro. Esto significa que las contraseñas, los números de tarjetas de crédito y otra información personal y privada son vulnerables a ser recolectados o apalancados contra usted a medida que el ataque se intensifica.

2) Hombre en el medio

Parte de la razón para usar un certificado SSL es autenticarse de manera única ante los clientes que se conectan a su servidor. Si la clave privada es robada, un pirata informático puede crear un ataque Man-In-the-Middle donde los datos que fluyen desde el servidor al cliente o desde el cliente al servidor se modifican en el tránsito. Esto se podría hacer para pedirle a un usuario que se vuelva a autenticar (y de ese modo entregar su contraseña), pedir un número de tarjeta de crédito o implantar malware en las descargas de archivos.

Como puede ver, si alguien ha comprometido su certificado SSL, puede escalar rápidamente el ataque para obtener acceso no autorizado a su sistema o atacarlo a usted o a sus usuarios.

Cómo recuperar

Si se sospecha de un compromiso de clave privada, se debe agregar el Certificado SSL a la Lista de revocación de certificados (CRL). Esto alertará a otros participantes en la infraestructura de clave pública (PKI) de que ya no se puede confiar en el certificado en cuestión. Para hacer esto, por lo general, deberá iniciar sesión en la cuenta que creó con la Autoridad de Certificación (CA) que emitió el Certificado SSL o de lo contrario notificarles el incumplimiento sospechoso. Godaddy proporciona instrucciones para esta en línea, al igual que Soluciones de red .

Con el certificado SSL revocado, deberá pasar nuevamente por el proceso de generar un nuevo certificado y una clave privada para volver a habilitar los servicios SSL para su sitio web o aplicación.

Si su sitio ha sido violado, recomendaría recuperarse en los siguientes pasos:

1. Cierre el servicio comprometido. En general, no es aconsejable ni ético dejar a usted o a sus usuarios en riesgo mientras arregla las cosas.
2. Revocar el certificado SSL . Al agregar el certificado a la CRL, está notificando al mundo que ya no se puede confiar. Esto debe hacerse tan pronto como sea posible.
3. Determine la causa de la Brecha y solucione el problema. No le servirá revocar y volver a emitir el certificado si no sabe cómo fue comprometido en primer lugar. Trate de resolver esto para que, antes de volver a poner todo en línea, no se vuelva a comprometer. Arregla el problema.
4. Generar un nuevo certificado SSL . Como se mencionó anteriormente, deberá generar un nuevo certificado para poder volver a poner las cosas en línea de manera segura.
5. Servicios del curriculum vitae . Después de abordar la causa raíz de la violación de la seguridad, revocar el certificado y generar un nuevo certificado desde cero, debe ser bueno para volver a poner las cosas en línea.
6. Notificar a los usuarios / partes interesadas . Se considera una mejor práctica proporcionar una divulgación completa y notificar a aquellos que puedan haber sido dañados por el incumplimiento de lo sucedido. En algunas industrias (como la atención médica) esto puede ser requerido por la ley. Sin embargo, en este punto, debe remitirse a la política corporativa / gubernamental para obtener información específica.

  

¿Qué puede hacer un atacante con una clave y un certificado de sitio web robado?

Los atacantes en posesión de la clave privada pueden:

• Suplantar el sitio web, si también están en condiciones de realizar un ataque MITM activo (es decir, alterar el tráfico proveniente del cliente para redirigir la solicitud a su servidor).

• Mire dentro del tráfico que pueden escuchar a escondidas (sin tener que alterar necesariamente el tráfico), si un conjunto de cifrado que no lo hace No proporcione Perfect Forward Secrecy ( Ephemeral Las suites de cifrado Diffie-Hellman tienen como objetivo proporcionar PFS).

  

¿Qué debe hacer el administrador del sitio web al aprender esto?

Deben ponerse en contacto con su Autoridad de Certificación para revocar la CA y obtener una nueva (con una nueva parte clave). Una vez revocados, los clientes que verifican la revocación (a través de CRL u OCSP) no deben aceptar el certificado anterior. (Los clientes que no verifiquen esto seguirán siendo vulnerables, hasta la expiración del certificado).

Decirles a los usuarios que este incidente ocurrió no es una mala idea, al menos para alentarlos a que verifiquen la revocación de sus navegadores (y quizás tomen las medidas necesarias, si sospechan que alguna de sus comunicaciones han sido vulnerables).

Tenga en cuenta que, si los atacantes han registrado comunicaciones anteriores utilizando ese certificado y se utilizó una suite de cifrado que no era PFS en ese momento, los atacantes deberían poder descifrar esas comunicaciones anteriores con la clave privada.