SSL roto en cada sitio web [duplicado]

16

Uno de mis amigos me llamó y me dijo que todos los sitios web de su familia tienen certificados SSL no confiables. Desde cualquier computadora en su casa, HTTPS no funciona y Firefox o Chrome solicitan agregar una excepción para el sitio que intenta ser visitado.

Sospecho que el tipo "IT" que configuró su red, también configuró MITM. Una vez que me dirijo a su casa esta semana, puedo investigar más.

Mi pregunta es esta: ¿cómo podré detectar MITM? Mi conjetura sería comparar certificados en una máquina que pueda conectarse al mismo sitio a través de una red diferente.

    
pregunta Nitrous 22.11.2015 - 20:01
fuente

4 respuestas

12

La primera comprobación que haría en este caso es ver por qué el navegador considera que el certificado no es de confianza.

El caso más probable (ya que es cada sitio que está utilizando un amigo) es que los certificados presentados en el navegador están siendo emitidos por una Autoridad de Certificación no confiable.

Si hace clic en el mensaje de error, debería ser posible ver quién es la CA emisora. Por ejemplo, en el siguiente certificado, el emisor es Comodo

Eso debería darte una buena pista de lo que está pasando. Si aparece como un proveedor de antivirus conocido, es posible , como dice @vilican, que solo es un software mal configurado y no algo malicioso.

Una vez que hayas comprobado eso, suponiendo que no lo hayas resuelto, mi siguiente parada sería la configuración de proxy para el navegador y / o el sistema operativo. Si hay un proxy configurado aquí, desactívalo, mira si eso afecta el problema.

Suponiendo que llegue a esos dos sin una resolución, el siguiente paso sería considerar la posibilidad de que el enrutador / cortafuegos de la red esté interceptando el tráfico SSL. Puede verificarlo agregando una nueva máquina a la red (que sabe que no tiene el problema) y ver si comienza a recibir advertencias de certificados SSL. Si ese es el problema, deberías hablar con quien tenga acceso para configurar el enrutador. De nuevo, puede ser una función de seguridad que haga esto y no sea realmente maliciosa ...

    
respondido por el Rоry McCune 22.11.2015 - 21:07
fuente
9

Me encontré con un problema similar una vez. La fecha en la computadora se configuró incorrectamente: un año después del año en curso, lo que provocó que todos los certificados transmitieran dichos mensajes.

Una cosa simple y fácil de verificar primero.

    
respondido por el Kyle Maw 22.11.2015 - 23:46
fuente
6
  

Mi pregunta es esta: ¿cómo podré detectar MITM?

La forma más sencilla es consultar la resolución de DNS para IP de algún sitio desde su red y luego escribir la IP real en algún lugar. Luego haz la misma consulta en la red de tu amigo. Si las direcciones IP son diferentes, es hora de ver qué resolución recursiva está usando su amigo. Un buen comienzo para esto es buscar en el enrutador (servidor DHCP), que además de asignar IPs le dice a las computadoras los servidores DNS. El segundo lugar está en cada computadora en la red: servidor DNS estático en las interfaces.

Si son iguales, verifique el software antivirus de su amigo. Sé que Avast tiene la función de escanear las webs HTTPS. El punto es que reemplaza los certificados HTTPS por uno propio, y si no instala la raíz como confiable, todas las conexiones HTTPS no serán de confianza.

    
respondido por el Vilican 22.11.2015 - 20:45
fuente
1

Rory tiene la respuesta correcta aquí , pero quería agregar más. Traté de incluirlo en un comentario, pero es demasiado grande para eso, así que estoy publicando una respuesta.

La verificación del emisor es la forma más fácil de identificar un MITM, aunque, como señala también Rory, el MITM podría no ser un malvado en el medio, el software de seguridad puede estar haciendo esto.

Sobre la verificación del emisor, usaría Firefox para obtener la información del certificado. Si Firefox no acepta la CA emisora, y la CA está instalada en la máquina local, diría que es MITM y eliminar el certificado del almacén de certificados del sistema operativo. Firefox incorpora su propia tienda de CA confiables y no confía en las tiendas del sistema operativo. Sin embargo, lamentablemente es trivial modificar de manera transparente el confiable almacén de CA de Firefox, por lo que no es una forma segura de comprobarlo.

En Windows con cosas como WFP se puede configurar un MITM sin modificar ninguna de las configuraciones en el sistema operativo, lo que hace que sea muy difícil para un usuario identificar claramente el software de origen detrás del desvío. WinDivert es un ejemplo de dicha biblioteca, hace que sea trivial configurar algo como un MITM sin cambiar los valores de configuración observables. Sin embargo, para conectarse al WFP es necesario crear un controlador firmado.

Entonces, para detectar estos ataques también, puede verificar los servicios y controladores instalados / en ejecución desde una consola con derechos de administrador con dos consultas:

Para obtener servicios instalados / en ejecución:

sc query

Para instalar / ejecutar controladores:

driverquery

Tenga en cuenta que esto solo ayudará a decidir claramente si algo está interceptando el tráfico HTTPS localmente. Identificar y limpiar lo que sea responsable es un asunto completamente diferente.

    
respondido por el user7933 23.11.2015 - 04:00
fuente

Lea otras preguntas en las etiquetas