¿Detectar TLS / SSL a través de HSTS?

Question

¿Detectar TLS / SSL a través de HSTS?

#1 de John Morahan (2 votos)
#2 de StackzOfZtuff (1 votos)

0

Imagina lo siguiente:

El cliente C quiere comunicarse con el servidor S. El malvado atacante A es el hombre en el medio.

C envía una solicitud a S, A la intercepta. A crea un certificado autofirmado con el nombre de dominio de S y envía el certificado a C, mientras que falsifica la IP de origen a la IP de S

C y A realizan el protocolo de enlace (C piensa que A es S), A puede descifrar las solicitudes realizadas en el formulario A y las envía a S (a través de HTTP o HTTPS). Las respuestas de S son tratadas al revés.

C ve la advertencia de que el certificado es autofirmado, pero ¿a quién le importa realmente?

Dado que la conexión entre C y A es a través de SSL, HSTS no debería ser un problema.

¿Es esto posible? ¿O me estoy perdiendo algo?

network tls certificates man-in-the-middle hsts

pregunta Heisenberg 10.06.2015 - 13:32

fuente

2 respuestas

Lea otras preguntas en las etiquetas network tls certificates man-in-the-middle hsts

encriptación de iOS 8 vs encriptación de Android Lollipop Huellas dactilares y contraseñas del navegador almacenadas por el navegador

score 2 · Answer 1

Una vez que el navegador de C ha establecido que S es un host HSTS conocido (ya sea a través de su lista de precarga o por haber recibido previamente un encabezado de seguridad de transporte estricto válido), los certificados autofirmados y problemas de seguridad similares producen errores que el usuario puede No hagas clic.

enlace

Así que la respuesta a tu pregunta "¿a quién le importa, en serio?" es "el navegador".

Por supuesto, este ataque podría tener éxito si C aún no ha establecido que S usa HSTS, es decir, si este es el primer intento de C para conectarse a S, y S no está en la lista de precarga del navegador.

score 1 · Answer 2

"Sin recurso de usuario"

RFC 6797, sección 12.1 indica que el usuario NO DEBE presentar un "clic aquí para ignorar y continuar "diálogo".

Ahora esta es una cláusula "DEBERÍA" y no una cláusula "DEBE". En RFC, esto significa que eres libre de ignorarlo. Pero instó a no hacerlo.

Entonces, si su navegador respeta la recomendación del RFC, no podrá ignorarlo.

Y si su navegador le permite ignorar la falla, entonces puede seguir adelante y ser sniffable.