¿Es posible un ataque 'huella digital' del certificado SSL / TLS HTTPS?

2

Si descarga el certificado raíz HTTPS único del sitio de un amigo (independientemente de los predeterminados enviados por el navegador), o simplemente hace una "excepción permanente" a un certificado autofirmado oscuro en Firefox, me pregunto si un ataque por terceros (a nivel de servidor y en la capa de aplicación HTTP) para descubrir el uso y almacenamiento de este certificado / autoridad HTTPS único y oscuro, por usted como usuario en la web,

Si otros servidores o MITM pueden detectarlos, de alguna manera utilizan esos mismos certificados únicos para verificar su respuesta de búsqueda / verificación / navegador a ellos (si ya ha aceptado el mismo certificado, seguramente el tiempo será más rápido), entonces pueden atacar su privacidad sabiendo que usa (o al menos ha aceptado / instalado) el certificado mencionado anteriormente del sitio de su amigo, o rompe el anonimato a través del concepto de huella digital (solo huella digital dirigida).

¿Cuáles serían las diversas formas de hacer esto y los requisitos para esos métodos? No soy un investigador de seguridad, pero puedo pensar en 1. forjar certificado directo del lado del servidor (pero ¿eso requeriría la adquisición de las claves privadas de mi amigo y, por lo tanto, es menos probable que exista una amenaza general?), Y 2. como RequestPolicy (si el usuario lo sabe), de todos modos usa solicitudes entre sitios que involucran el sitio del amigo original sin que sea necesaria la suplantación / robo / falsificación, y de alguna manera observa si efectivamente ha instalado o aceptado ese certificado de esta manera. >

Si hay diferencias entre los navegadores en tal vulnerabilidad, uso Firefox.

    
pregunta operational 11.02.2015 - 22:39
fuente

1 respuesta

1

No hay posibilidad de ataque de huellas dactilares.

El primer punto aquí es que no hay certificados únicos que pueda crear y, si intenta hacerlo, necesita agregar una firma digital en el certificado (autofirmado o no), entonces necesita una clave privada. Está disponible solo con la persona en particular.

El segundo punto aquí es que no puedes establecer una comunicación segura, obviamente fallará durante la negociación.

    
respondido por el user45475 12.02.2015 - 00:51
fuente

Lea otras preguntas en las etiquetas