¿Qué puede hacer un atacante con una clave y un certificado de sitio web robado?
¿Qué debe hacer el administrador del sitio web al aprender esto?
¿Qué puede hacer un atacante con una clave y un certificado de sitio web robado?
¿Qué debe hacer el administrador del sitio web al aprender esto?
Vectores de ataque
Si un atacante descubre su clave privada SSL, usted es mínimamente vulnerable a los siguientes ataques:
1) Tráfico de escuchas
Para el atacante, todo lo que se envía a través de SSL se puede descifrar y, por lo tanto, debe considerarse como un texto claro. Esto significa que las contraseñas, los números de tarjetas de crédito y otra información personal y privada son vulnerables a ser recolectados o apalancados contra usted a medida que el ataque se intensifica.
2) Hombre en el medio
Parte de la razón para usar un certificado SSL es autenticarse de manera única ante los clientes que se conectan a su servidor. Si la clave privada es robada, un pirata informático puede crear un ataque Man-In-the-Middle donde los datos que fluyen desde el servidor al cliente o desde el cliente al servidor se modifican en el tránsito. Esto se podría hacer para pedirle a un usuario que se vuelva a autenticar (y de ese modo entregar su contraseña), pedir un número de tarjeta de crédito o implantar malware en las descargas de archivos.
Como puede ver, si alguien ha comprometido su certificado SSL, puede escalar rápidamente el ataque para obtener acceso no autorizado a su sistema o atacarlo a usted o a sus usuarios.
Cómo recuperar
Si se sospecha de un compromiso de clave privada, se debe agregar el Certificado SSL a la Lista de revocación de certificados (CRL). Esto alertará a otros participantes en la infraestructura de clave pública (PKI) de que ya no se puede confiar en el certificado en cuestión. Para hacer esto, por lo general, deberá iniciar sesión en la cuenta que creó con la Autoridad de Certificación (CA) que emitió el Certificado SSL o de lo contrario notificarles el incumplimiento sospechoso. Godaddy proporciona instrucciones para esta en línea, al igual que Soluciones de red .
Con el certificado SSL revocado, deberá pasar nuevamente por el proceso de generar un nuevo certificado y una clave privada para volver a habilitar los servicios SSL para su sitio web o aplicación.
Si su sitio ha sido violado, recomendaría recuperarse en los siguientes pasos:
¿Qué puede hacer un atacante con una clave y un certificado de sitio web robado?
Los atacantes en posesión de la clave privada pueden:
Suplantar el sitio web, si también están en condiciones de realizar un ataque MITM activo (es decir, alterar el tráfico proveniente del cliente para redirigir la solicitud a su servidor).
Mire dentro del tráfico que pueden escuchar a escondidas (sin tener que alterar necesariamente el tráfico), si un conjunto de cifrado que no lo hace No proporcione Perfect Forward Secrecy ( Ephemeral Las suites de cifrado Diffie-Hellman tienen como objetivo proporcionar PFS).
¿Qué debe hacer el administrador del sitio web al aprender esto?
Deben ponerse en contacto con su Autoridad de Certificación para revocar la CA y obtener una nueva (con una nueva parte clave). Una vez revocados, los clientes que verifican la revocación (a través de CRL u OCSP) no deben aceptar el certificado anterior. (Los clientes que no verifiquen esto seguirán siendo vulnerables, hasta la expiración del certificado).
Decirles a los usuarios que este incidente ocurrió no es una mala idea, al menos para alentarlos a que verifiquen la revocación de sus navegadores (y quizás tomen las medidas necesarias, si sospechan que alguna de sus comunicaciones han sido vulnerables).
Tenga en cuenta que, si los atacantes han registrado comunicaciones anteriores utilizando ese certificado y se utilizó una suite de cifrado que no era PFS en ese momento, los atacantes deberían poder descifrar esas comunicaciones anteriores con la clave privada.
Lea otras preguntas en las etiquetas web-application tls