Ataque falso de certificado de servidor en SSL / TLS

1

Tengo un servidor con un servidor de certificados autofirmado. el cliente confía al agregar la autoridad de creación propia a las autoridades de confianza de su navegador. Ahora, al conectarse a la dirección IP del servidor a través de https: //, el navegador dirá que la conexión es segura ya que el certificado que se muestra es de confianza. Pero, ¿cómo puede estar seguro el cliente de que el certificado que se mostró es en realidad este server.crt autofirmado específico, y no otro certificado que, por ejemplo, fue firmado por Verisign?

Tal vez mi pregunta se reduce a esto: ¿Qué tan fácil es para un atacante obtener una firma de las otras autoridades de confianza (estándar) en un navegador?

Por supuesto, el cliente siempre puede verificar manualmente en su navegador qué certificado se mostró realmente, pero esto parece ser un paso que no debería tener que realizarse cada vez que se conecta al servidor.

    
pregunta peter 04.05.2017 - 14:03
fuente

3 respuestas

3

Puede usar HPKP para anclar la clave pública de su autoridad de creación propia, por lo tanto, después de la primera conexión, el cliente rechazará cualquier certificado firmado por otra CA de confianza.

    
respondido por el Tom 04.05.2017 - 15:34
fuente
3
  

¿Qué tan fácil es para un atacante obtener una firma de las otras autoridades de confianza (estándar) en un navegador?

Hay un ejemplo de Phishing con dominios Unicode que explica cómo puede un atacante para crear una página de phishing con certificado SSL para engañar a su navegador mostrando una conexión segura.

    
respondido por el GAD3R 04.05.2017 - 19:07
fuente
1

Para que un certificado sea emitido por una CA pública para un nombre de host, debe tener al menos el control de ese nombre de host.

entonces, si posee el nombre de dominio al que se hace referencia en el certificado, puede estar razonablemente seguro de que nadie podrá solicitar y obtener un certificado para ese mismo dominio a través de una CA pública.

Otro elemento importante que se debe conocer es que las entidades de certificación no emitirán certificados para dominios privados. Por ejemplo, si usa un TLD interno (por ejemplo, .local), las CA públicas no le proporcionarán el certificado correspondiente.

    
respondido por el Stephane 04.05.2017 - 14:19
fuente

Lea otras preguntas en las etiquetas