Asegúrese automáticamente de que el certificado (autoridad) de un sitio no haya cambiado

1

Mi situación:

He configurado mi propia autoridad de certificación y he generado un certificado para un servidor que se usa principalmente de forma interna.

Según tengo entendido, puedo configurar mis navegadores / computadoras para que confíen en el certificado del servidor interno al importar el certificado de las autoridades superiores.

Mi preocupación:

¿Cómo puedo informarme (antes de enviar información confidencial al servidor fraudulento o al dispositivo MITM) de cualquier ataque mediante el cual se utilice una autoridad de confianza previa para generar un nuevo certificado para un servidor impostor?

¿Puedo configurar mi navegador (Chrome, Firefox) para lanzar una alerta si el emisor del certificado / huella digital cambia?

En resumen, ¿cómo puedo desconfiar de las autoridades de confianza por dominio?

    
pregunta robut 08.11.2015 - 03:23
fuente

3 respuestas

1
  

¿Puedo configurar mi navegador (Chrome, Firefox) para que emita una alerta si el emisor del certificado / la huella digital cambian?

Chrome y Firefox son compatibles con HPKP , que le permite fijar la clave pública del certificado para un host específico. esto no dispara una alarma si el emisor cambia, pero solo si la clave pública del certificado cambia. Esta es una protección aún más estricta porque cualquier persona que quiera hacerse pasar por su sitio tendría que tener su par de claves pública / privada original, sin importar qué CA se use al final.

  

En resumen, ¿cómo puedo desconfiar de las autoridades de confianza en cada dominio?

No hay manera de decir por adelantado qué CA aceptará para qué sitio. Pero una vez que haya un certificado para un sitio, puede usar HPKP para aceptar solo certificados con claves públicas específicas para un sitio.

    
respondido por el Steffen Ullrich 08.11.2015 - 04:49
fuente
0

Ninguna CA legítima debe emitir un certificado para el nombre de host de su servidor, sin primero validar la solicitud de certificado. Esto se hace a menudo a través de validación de dominio .

Para responder a su segunda pregunta, puede emplear fijación de certificados para que su navegador le avisará si el certificado cambia.

    
respondido por el mti2935 08.11.2015 - 03:44
fuente
0

Hay algunos complementos del navegador que pueden hacer lo que buscas:

  • Patrulla de certificados : este complemento le avisará cuando el certificado o cambios de autoridad de certificación para un sitio web. Le permitirá auditar los certificados que su navegador está aceptando para un dominio en particular. Una desventaja es que las advertencias pueden llegar a ser bastante detalladas en algunas situaciones.
  • Perspectivas : este complemento tiene funcionalidad para verificar el historial de certificados de un Sitio web como se ve por las observaciones de sus servidores. Puede configurar reglas para generar advertencias si el certificado no se ha mantenido estable durante un cierto número de días, entre otras características.
respondido por el Austin Hartzheim 08.11.2015 - 04:43
fuente

Lea otras preguntas en las etiquetas