¿Los clientes de SSL / TLS advierten sobre claves / hashes débiles con respecto a los certificados autofirmados?

Navega tus respuestas
1

En los últimos meses / años, los clientes SSL / TLS como los navegadores web normalmente muestran advertencias en los certificados de servidor con claves de bit bajo y algoritmos de hashing débiles. Este es ciertamente el caso de los certificados firmados por las principales CA. ¿Se muestran las mismas advertencias para los certificados firmados por una CA autofirmada cuando los certificados de CA se han agregado al almacén de certificados?

Soy consciente de que el comportamiento depende únicamente del software de cliente en cuestión, pero principalmente me pregunto sobre los principales navegadores web (Firefox, Chrome, IE, etc.)

    
pregunta potempkin 03.07.2017 - 10:08
fuente

3 respuestas

0

Gracias a todos por sus respuestas. Dejé que la curiosidad me venciera y, de hecho, la probé por mí misma (lo que estaba tratando de evitar en primer lugar). Espero que otros encuentren útiles estos resultados.

Como puede ver, con la excepción de IE, Firefox y Chrome advierten sobre el uso débil del algoritmo de hash, pero ignoran completamente el problema de las claves de 1024 bits. 

Tested July 3, 2017

Case 1: 1024bit key, MD5, no subjectAltName
-------------------------------------------------------
Firefox = Warning that cert is hashed with disabled algorithm (MD5) 
Chrome = Warning that cert is missing subjectAltName
IE = no warning


Case 2: 1024bit key, MD5, subjectAltName same as subject CN
-------------------------------------------------------
Firefox = Warning that cert is hashed with disabled algorithm (MD5) 
Chrome = Warning that cert is hashed with weak algorithm (MD5)
IE = no warning


Case 3: 1024bit key, SHA256, no subjectAltName
-------------------------------------------------------
Firefox = no warning
Chrome = Warning about certificate missing subjectAltName
IE = no warning


Case 4: 1024bit key, SHA256, subjectAltName same as subject CN
-------------------------------------------------------
Firefox = no warning
Chrome = no warning
IE = no warning


[1] Browser versions tested:
  * Firefox 54.0.1
  * Chrome 59.0.3071.115
  * IE 11.0.9600.18698
[2] All tests performed on Windows 8.1 32-bit OS
[3] All server certificates signed by a self-signed Root CA,
    with no Intermediate CA. Root CA certificate was installed
    into the Windows certificate store using mmc.exe, and
    Firefox using the Options GUI.
    
respondido por el potempkin 03.07.2017 - 13:21
fuente
0

Si el autofirmado se ha agregado al almacén de certificados, el sistema operativo / navegador tratará como cualquier otro certificado y mostrará cualquier advertencia independientemente.

    
respondido por el ISMSDEV 03.07.2017 - 10:12
fuente
0

La mayoría de los navegadores advertirán sobre el certificado TLS / SSL vulnerable, por ejemplo. usando sha1 para firmar el cert.

Puede probar su navegador con el ejemplo badssl.com para un error de certificado defectuoso y vulnerable.

(actualizar) Para probar el error de su certificado autofirmado, puede usar descargar la fuente github de badssl y generar la página de prueba.

    
respondido por el mootmoot 03.07.2017 - 10:40
fuente

Lea otras preguntas en las etiquetas

¿Es seguro este diseño para almacenar / compartir secretos? Integración de Splunk con HoneyD [cerrado]