¿Cómo es posible esta falsificación de SSL?

0

Aquí hay una descripción de una suplantación de certificados SSL aparentemente exitosa:

enlace

  

La sesión se inicia señalando una ventana de icedove recién abierta   manualmente en la siguiente URL:

     

CÓDIGO: SELECCIONA TODO enlace

     

Esta URL luego redirige a la subsidiaria local de Google para   cluster de nodo de salida en cuestión (París, Francia):

     

CÓDIGO: SELECCIONAR TODO

     

enlace

     

Inmediatamente notamos que icedove no está satisfecho con el certificado   credenciales ... aunque la página todavía se carga sin errores o   advertencias abiertas:

¿Cómo es esto posible? ¿Por qué el navegador no emitirá una advertencia de seguridad en este caso, ya que los certificados no son confiables por ninguna autoridad de certificación raíz que tiene localmente en su cacerts ?

    
pregunta levant pied 11.08.2015 - 15:55
fuente

2 respuestas

7

Los autores de la página a la que se refiere no entienden algunos conceptos básicos y hacen afirmaciones falsas. Debido a eso, no creo que deba tomar ninguna declaración o conclusión de este artículo de verdad. Algunos ejemplos:

  

Este certificado se identifica a sí mismo (a través del campo CN) como * .google.com a pesar de haber sido servido durante una sesión putativa con google.fr (una vez más, este tipo de mala configuración obvia del certificado es casi imposible de imaginar si Google lo hace en sistemas de producción) :

Mientras que el certificado que citan tiene *.google.com como CN, ya que declaran correctamente que no reconocen que el certificado contiene *.google.fr en la sección de nombres alternativos del sujeto (SAN). Y, obviamente, los autores no saben que si esta sección está presente y contiene nombres de DNS como en este caso, los navegadores ni siquiera deberían mirar la CN, sino solo la SAN. Esto significa que el certificado coincide con el servidor y que la cadena de confianza también es correcta, por lo que no es de extrañar que el navegador no se queje de ello.

  

Sin embargo, es notable que la conexión no parece representar un certificado de clase EV. En otras palabras, no hay un 'candado verde' como vemos en ninguno de los otros servicios de Google. Por ejemplo: ...

No sé a qué "otros servicios" se refieren, pero ni google.com ni youtube.com usan certificados EV.

En resumen: hay varios errores obvios en este artículo. Por lo tanto, recomiendo simplemente ignorar cualquier afirmación y conclusión hecha en este artículo porque los autores no parecen entender de qué están hablando.

Editar: acabo de descubrir que este artículo también está muy criticado en enlace

    
respondido por el Steffen Ullrich 11.08.2015 - 21:10
fuente
1

No veo nada particularmente fuera de lo común.

Las direcciones IPv4 se mueven alrededor. Google no usa la certificación EV, ya que EV no permite comodines. Esta persona no sabe que un certificado puede contener varios nombres de dominio en el campo subjectAlternativeName, solo mira el nombre canónico, que de hecho es google.com para los dominios de Google.

    
respondido por el ikanobori 11.08.2015 - 18:14
fuente

Lea otras preguntas en las etiquetas