¿Puede funcionar el hombre en el medio con el certificado firmado por una CA conocida y la suplantación de DNS?

Question

¿Puede funcionar el hombre en el medio con el certificado firmado por una CA conocida y la suplantación de DNS?

#1 de Mark Burnett (4 votos)

1

Suponiendo que tengo un certificado para mi servidor web local firmado por una CA conocida como Verisign (por lo que los navegadores confiarán en él), y puedo envenenar el DNS en Man-in-the-Middle para redirigir un el usuario que quiera ir a google.com en mi servidor web local que tenga el mismo nombre de host google.com , ¿cuáles serán las consecuencias?

¿Existe algún riesgo? Si es así, ¿cómo prevenirlo?

No sé por qué la fijación de SSL solo se usa para aplicaciones móviles. Si el ataque anterior funciona, la fijación de SSL puede ser una prevención. Pero no se usa en la computadora ...

tls man-in-the-middle certificate-authority dns

pregunta Duke Nukem 04.06.2016 - 01:15

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls man-in-the-middle certificate-authority dns

Usar htmlentities () en un área de texto compatible con BBCode para detener XSS ¿Cómo los sitios web evitan la falsificación de certificados?

score 4 · Accepted Answer

Para que esto tenga éxito, el nombre de host del servidor debería coincidir con el nombre del certificado. Eso significa que tendría que obtener una CA para emitir un certificado como google.com (no es probable que ocurra) o tendría que obtener un certificado raíz de una CA que usted controla e instala en la computadora del usuario como un certificado de CA confiable. .

Incluso en ese caso, muchos sitios web grandes utilizan la fijación de clave pública, lo que obliga al navegador a aceptar solo un certificado específico hasta una fecha de vencimiento preestablecida. Tanto Chromium como Firefox soportan la fijación.