¿La fecha de vencimiento del certificado es una forma válida de detectar sitios web maliciosos?

1

Cada vez que compro algo en línea o recibo facturas en mi buzón con un enlace para pagar con dotpay siempre verifico si la página a la que me redireccioné tiene un certificado válido por al menos 1 año. ¿Es una buena práctica hacer eso o es completamente innecesario? Mi razonamiento es que si alguien crea un sitio web fraudulento imitando el sitio web de mi banco o el sitio web de dotpay, es probable que tenga un certificado emitido hace un par de días y que dure aproximadamente un mes, porque saben que la página se cerrará tan pronto como alguien descubre que es una estafa. ¿Es esto absurdo o se puede utilizar realmente como una forma muy rápida de validar parcialmente si se confía en el sitio web?

    
pregunta FCin 16.11.2018 - 09:33
fuente

3 respuestas

3

No, no es una forma adecuada de comprobarlo. Los certificados de larga duración se están perdiendo en gran medida debido a las implicaciones de seguridad, y en realidad son menos confiables que los de corta duración. El razonamiento detrás de esto es el siguiente:

Supongamos que usted es dueño de un sitio web y compra un certificado TLS con una validez de 10 años. Ahora suponga que la clave se ve comprometida el primer día, y nunca se entera de esto. Quienquiera que haya obtenido la clave para ese certificado ahora puede hacerse pasar por su sitio web durante los próximos 10 años . Si, en cambio, tuvieras uno que fuera válido solo durante 3 meses, la cantidad de daño que el atacante podría hacer sería significativamente menor.

En lo que respecta a la verificación de si un certificado es legítimo o no, no hay nada que usted, como usuario, pueda hacer.

  • Los períodos de validez están fuera, porque esa es la política local. Algunas personas aún desean pagar por certificados de validez larga, por lo que aún verá dichos certificados en uso regular, especialmente entre las compañías que han estado usando SSL / TLS por más tiempo (bancos, por ejemplo).
  • La fecha de emisión también está fuera, por la misma razón que los períodos de validez no son buenos. Puede considerar cuestionable uno cerca del final de su período de validez, pero eso no va a ser confiable.
  • La validación del dominio está fuera, ya que no es difícil para los atacantes falsificar los registros DNS requeridos (el DNS sigue siendo una de las partes más inseguras de Internet).
  • La validación extendida está fuera, ya que es en gran parte una broma, ya que la mayoría de las compañías que la proporcionan lo hacen, y algunas compañías populares simplemente no lo hacen en absoluto (en gran parte porque realmente tiene un valor casi cero para asegurar las comunicaciones).

El explorador ya realiza automáticamente todas las demás comprobaciones que puede hacer al analizar el certificado en sí mismo (verificando que el certificado sea válido y no haya sido revocado, que coincida con domai y que el servidor tenga la clave asociada) ).

Dicho esto, deberías buscar activamente typosquatting , que puede ser un poco más obvio si estás buscando en el propio certificado. Sin embargo, una mejor defensa para esto es asegurarse de que su navegador muestre caracteres no ASCII en los nombres de dominio en su forma de escape o código de código.

    
respondido por el Austin Hemmelgarn 16.11.2018 - 20:32
fuente
1

Esta no es una forma adecuada de comprobarlo. Obtendrá un montón de falsos positivos. Solo imagine todos los certificados de Let's encrypt. Todos estos son válidos por sólo 3 meses. Y el propósito del proyecto Let's encrypt fue fomentar los certificados con una renovación de certificación automatizada y de por vida.

No es común que los bancos utilicen este tipo de certificados, pero hay maneras mejores de verificar si un certificado es válido, es decir, CRL , OCSP , Certificate Transparency

    
respondido por el Lithilion 16.11.2018 - 09:42
fuente
1

Estoy de acuerdo con los otros respondedores, esto no es una verificación válida. Ciertamente, no puede hacer daño, pero le brinda pocos datos válidos por varias razones.

¿Qué en particular buscas verificar cuando haces esto? Hay mejores maneras de obtener esa información. Para verificar la validez de un proveedor, por ejemplo, las revisiones pueden * ser un método mejor. (Tenga en cuenta que "may" es una palabra clave aquí, ya que las revisiones son obviamente una fuente de información extremadamente poco confiable).

    
respondido por el securityOrange 16.11.2018 - 21:11
fuente

Lea otras preguntas en las etiquetas