¿Hasta qué punto puedo confiar en HTTPS para las comunicaciones cliente-servidor?

Navega tus respuestas
1

Me gustaría saber hasta qué punto y en qué circunstancias está bien confiar en HTTPS para las comunicaciones cliente-servidor. En los años anteriores, ha habido algunas noticias sobre hacks de Autoridades de Certificados (como diginotar), sé que también hay algunas fallas en la forma en que funciona HTTPS, por ejemplo, los resolutores DNS de ISP pueden no ser confiables en alguna región, y enviar HTTPS falsos Certificados a los clientes ...

Supongamos que estoy ejecutando un servidor que aloja un sitio web que manejará millones de dólares en transacciones de dinero , probablemente estará sujeto a piruetas. El servidor es ultra seguro (sin DDOS, intrusión ssh o inyección de código), mis preocupaciones aquí son sobre la comunicación entre mi servidor y los clientes que pueden vivir en cualquier parte del mundo.

Mis preguntas:

  • ¿La elección de la CA para registrar mi dominio es importante?
  • ¿Existen algunas CA que se consideran más seguras o menos seguras?
  • ¿Existen algunas CA que están en la lista negra o el acceso prohibido en algunas regiones del mundo? (Esto haría que mis clientes de esas regiones no puedan acceder a mi plataforma a través de HTTPS).
  • ¿Es posible que los proveedores de servicios de Internet monitoreen las solicitudes de certificados del cliente y, en algún momento, emitan certificados falsos?
pregunta Lamouette 26.10.2018 - 13:55
fuente

2 respuestas

1
  • ¿La elección del CA para registrar mi dominio es importante?

Sí. Se han producido infracciones físicas en el establecimiento que han expuesto certificados de firma de algunas CA (RSA). Hay CA que han emitido certificados falsos para empresas legítimas (THAWTE / Symantec, China). Hay CA que han sido prohibidas por certificados falsos emitidos de forma crónica / "equivocada" que han sido utilizados en malware o para proporcionar la intercepción ilegal de sitios legítimos con SSL. (Wosign de China y CNNIC)

  • ¿Existen algunas CA que se consideran más seguras o menos seguras?

En mi opinión, sí. Según las personas que construyen y mantienen listas de certificados no confiables, sí. Google realmente mantiene una lista y una API de certificados no confiables a través del proyecto llamado Submariner.

  • ¿Hay algunas CA que están en la lista negra o acceso prohibido en algunas regiones del mundo? (Esto haría que mis clientes de esas regiones no puedo acceder a mi plataforma a través de HTTPS.)

Sí, pero la matriz de qué país confía en lo que CA no existe. Y lo que es peor, a menos que esté viviendo en un país que controle su acceso a Internet, el problema se vuelve más nebuloso al tratar de determinar qué compañías confían en qué CAs ...

  • ¿Es posible que los ISP monitoreen las solicitudes realizadas por el cliente para ¿Certificados y, en algún momento, emitir certificados falsos?

Es posible que las personas en línea con su conexión realicen un ataque SSL / TLS Man-in-the-middle (comúnmente denominado, Intercepción SSL) pero si, como usuario que inicia la conexión, está revisando sus certificados cuando su navegador se queja de un problema, debería verlo (p. ej., vaya a enlace y el certificado que su navegador ve es para otra persona que se registra) .

Si aún está utilizando SSL y algunas versiones anteriores de TLS, también existen ataques conocidos para ellos.

Si aún está utilizando certificados antiguos que utilizan algoritmos de cifrado o hash antequated, también hay ataques contra ellos (por ejemplo, DES, 3DES, MD4 / 5).

    
respondido por el thepip3r 26.10.2018 - 16:08
fuente
0

Busque en la fijación de claves públicas, que proporciona cierta protección contra las autoridades de certificación comprometidas:

enlace

    
respondido por el vrtjason 26.10.2018 - 14:41
fuente

Lea otras preguntas en las etiquetas

¿Cuál es el punto de 2FA si el código de recuperación (que es solo un factor) puede usarse para acceder a la cuenta de todos modos? Centro de seguridad de Internet versión 6.1 Control de seguridad crítica 16-10