¿Puede funcionar el hombre en el medio con el certificado firmado por una CA conocida y la suplantación de DNS?

1

Suponiendo que tengo un certificado para mi servidor web local firmado por una CA conocida como Verisign (por lo que los navegadores confiarán en él), y puedo envenenar el DNS en Man-in-the-Middle para redirigir un el usuario que quiera ir a google.com en mi servidor web local que tenga el mismo nombre de host google.com , ¿cuáles serán las consecuencias?

¿Existe algún riesgo? Si es así, ¿cómo prevenirlo?

No sé por qué la fijación de SSL solo se usa para aplicaciones móviles. Si el ataque anterior funciona, la fijación de SSL puede ser una prevención. Pero no se usa en la computadora ...

    
pregunta Duke Nukem 04.06.2016 - 01:15
fuente

1 respuesta

4

Para que esto tenga éxito, el nombre de host del servidor debería coincidir con el nombre del certificado. Eso significa que tendría que obtener una CA para emitir un certificado como google.com (no es probable que ocurra) o tendría que obtener un certificado raíz de una CA que usted controla e instala en la computadora del usuario como un certificado de CA confiable. .

Incluso en ese caso, muchos sitios web grandes utilizan la fijación de clave pública, lo que obliga al navegador a aceptar solo un certificado específico hasta una fecha de vencimiento preestablecida. Tanto Chromium como Firefox soportan la fijación.

    
respondido por el Mark Burnett 04.06.2016 - 02:12
fuente

Lea otras preguntas en las etiquetas