¿Qué me impide reproducir un certificado SSL?

Question

¿Qué me impide reproducir un certificado SSL?

#1 de thexacre (6 votos)

1

Digamos que tengo el certificado SSL para google.com. Lo intercepto, edito el certificado con mi propio nombre de dominio y clave pública y lo uso para interceptar todo el tráfico a google.com. ¿Qué mecanismos existen en el certificado SSL para evitar que lo haga?

tls certificates man-in-the-middle replay-detection

pregunta user1720897 07.09.2014 - 14:25

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls certificates man-in-the-middle replay-detection

NMAP no informa de puertos abiertos con escaneo -sS ¿Cómo generar una cadena impredecible pero corta? [cerrado]

score 6 · Answer 1

Cuando una CA firma un certificado, encripta un hash que incluye el nombre de host del destino del certificado usando su clave privada. Cuando el cliente recibe el certificado, descifra el hash mediante la clave pública de la CA (que se incluye en el cliente) y verifica que coincida con el hash calculado por el cliente. Si los hashes no coinciden, la validación falla y la conexión se debe cancelar.

Si modifica el certificado para cambiar el nombre de host, los hashes no coincidirán
Si intenta firmar el certificado nuevamente (es decir, reemplace el hash por el suyo), el cliente no confiará en él porque no fue firmado por una de sus CA confiables.
Si intentas presentar un certificado firmado legítimamente para otro dominio, obviamente la validación también fallará porque el dominio no coincide.

Por supuesto, lo anterior asume que el cliente valida los certificados correctamente, que es no siempre el < a href="http://www.cs.ucsb.edu/~koc/ns/docs/articles/p50.pdf"> case .