¿Se puede usar el certificado de prueba de Symantec para facilitar el ataque en el medio?

1

El certificado de prueba SSL de Symantec emite certificados sin validación de que el dominio es propiedad de quien solicita el certificado. ¿No hace esto fácil hacer un hombre en el ataque central contra cualquier sitio web?

Para obtener más información, consulte [Sitio web del certificado de prueba de Symantec] [1]

    
pregunta sami 20.10.2016 - 18:39
fuente

1 respuesta

3

El certificado SSL emitido mediante este proceso no es de confianza predeterminado por ningún software y, por lo tanto, no puede hacer ningún daño siempre que el software esté realizando la validación adecuada de los certificados. Y si el software no está realizando la validación adecuada, de todos modos no hay esperanza para este software, es decir, no necesita este certificado de prueba, pero puede crear el suyo propio.

De la documentación :

  

Para probar el uso de un certificado de prueba de Symantec SSL, debe instalar un Symantec Trial Intermediate y Symantec Trial Root CA en el servidor. La Raíz de prueba también debe instalarse en cada navegador que se utilizará durante la fase de prueba. Este es un paso especial que Symantec ha implementado para evitar el uso fraudulento de certificados de prueba . Al comprar un certificado SSL de producción, estos pasos adicionales no son necesarios.

    
respondido por el Steffen Ullrich 20.10.2016 - 18:49
fuente

Lea otras preguntas en las etiquetas