¿Cómo mitigo un MITM en https?

Navega tus respuestas
1

Estoy intentando ver un sitio https (que funcionó perfectamente bien hasta ayer) y Chrome me está mostrando que el certificado de seguridad del sitio no es confiable.

Estoy en una red doméstica. ¿Cómo puedo saber si el certificado es un problema o mi red?

    
pregunta Sairam 30.08.2013 - 12:05
fuente

3 respuestas

1

La versión de Chrome tenía pocas horas de antigüedad. Actualizar mi versión de Chrome y reiniciar Chrome solucionó el problema anterior.

    
respondido por el Sairam 30.08.2013 - 12:49
fuente
3

Si los navegadores web indican que el certificado no es de confianza, entonces, básicamente, no puede confiar en él. Si hubiera un método simple para validar si un certificado es bueno o no, además de la validación de certificados, entonces los navegadores lo aplicarían.

Lo anterior no es del todo cierto: existe hay un método para validar un certificado, que los navegadores no pueden hacer. Puede llamar a la organización que posee el servidor HTTPS esperado; aquí, al parecer, la Oficina de Asuntos Consulares, del Departamento de Estado de los Estados Unidos. Pida hablar con un administrador de sistemas y pídale que deletree, por teléfono, la huella dactilar SHA-1 de su certificado (40 caracteres hexadecimales). Compare con lo que le muestra su navegador (se encuentra al final de los "detalles del certificado"). Si los valores coinciden (exactamente), entonces el certificado es genuino y puede continuar. Este método de validación, por supuesto, supone que una llamada telefónica es confiable y no será interceptada (en particular, cómo obtener el número de teléfono correcto podría estar sujeto a alteraciones maliciosas), y también que una oficina administrativa de EE. UU. conteste el teléfono y aceptará reenviar su llamada a un administrador de sistemas que tiene tiempo de responder, y una pista sobre qué pueden ser los certificados y SSL (ese es su trabajo, pero el hecho de estar asignado a una tarea nunca ha garantizado competencia).

Incluso si puedes asegurarte de que el certificado es real, esto plantea la pregunta de por qué el certificado fue declarado incorrecto por el navegador. Esto puede ser consecuencia de una serie de posibles contratiempos, entre los que se incluyen la falta de renovación de un certificado a tiempo o incluso un error en el código del navegador.

    
respondido por el Tom Leek 30.08.2013 - 16:19
fuente
1

Apostaría de dólares a donas que este era el problema

Eso fue ayer por la mañana. Simplemente reemplazaron su certificado, y podrían haber ocurrido varias cosas para que el navegador pensara que era antes de las 5:30 AM de la mañana de ayer

  • Realmente te conectaste antes de las 5:30 AM
  • La hora en su máquina es incorrecta (podría ser la hora actual o la zona horaria)
  • Chrome arruinó la zona horaria para calcular el horario estándar de la India

El hecho de que funcione ahora pero no antes refuerza la idea de que esto es lo que sucedió.

    
respondido por el Scott Chamberlain 30.08.2013 - 19:25
fuente

Lea otras preguntas en las etiquetas

¿Cómo administrar las contraseñas de la empresa cuando se emplean freelancers temporales? SSL y redirige la seguridad