Autenticación de certificado de una dirección IP no confiable

Navega tus respuestas
0

Cuando ejecuto mi Windows, se realizan las comprobaciones de revocación de certificados. Esto ocurre una vez cuando se inicia explorer.exe y luego, periódicamente, cada 40 minutos aproximadamente, a 5 IP. La mayoría de estos hosts de Microsoft, Google o Akamai se enfocan generalmente en los Países Bajos y EE. UU. Sin embargo, desconcertante es la llamada a crl.microsoft.com que se resuelve en una IP controlada por mi ISP. No utilizo el DNS de mi ISP y aplico un DNS de terceros ([email protected]) a nivel del sistema operativo utilizando las opciones de Internet de Windows.

Según la respuesta del DNS, los nombres de host se resuelven de la siguiente manera: CNAME crl.microsoft.com - > ms.akadns.net - > a1363.dscg.akamai.net - > Dirección 62. . . *** (ASN: 5089).

Pero esta dirección IP está registrada en mi ISP, no en Akamai o Microsoft. No tengo ninguna razón para creer que mi ISP está asociado con Akamai o Microsoft.

Después, se obtiene una Lista de revocación de certificados de la dirección "crl.microsoft.com" de mi ISP.

Al realizar una búsqueda de nombre de dominio en otro lugar, ms.akadns.net resuelve otros nombres y direcciones de subhost, por lo que el problema se produce en ms.akadns.net > Paso de traducción a1363.dscg.akamai.net.

a1363.dscg.akamai.net no se resuelve en nada cuando se busca directamente.

Mi sistema está limpio y no uso ningún software ISP. Mi módem (bloqueado por ISP) es el único hardware ISP en mi red.

Se describe un problema muy similar aquí pero no estoy en Rumania. El usuario novato "resuelve" su problema al deshabilitar las opciones "verificar la revocación de certificados" en su sistema.

Me preguntaba si alguien podría explicar qué debo hacer al lado para evaluar el alcance del problema. Me gustaría hacer una referencia cruzada de los certificados que obtengo de la dirección no confiable con lo que deberían ser.

Editar: Así que otras personas pueden encontrar este problema. Las conexiones salientes se realizan mediante Svchost.exe utilizando el servicio CryptSvc y DNScache. Las solicitudes para certificar servidores se realizan utilizando el encabezado Microsoft-CryptoAPI.

    
pregunta Inerva 07.09.2018 - 10:02
fuente

2 respuestas

2

Obviamente, Microsoft está utilizando los servicios de Akamai para dirigir a los clientes que solicitan crl.microsoft.com en algún lugar . Todo el propósito de los servicios que ofrece Akamai es cargar el tráfico en Internet de la manera más inteligente posible. Esto es lo que pagan los clientes de Akamai (tanto los ISP como los proveedores de contenido).

En pocas palabras, funciona de la misma manera que 8.8.8.8 (Google DNS), que no es de ninguna manera una única máquina servidor DNS en todo el planeta tierra, pero es un mecanismo (IP). anycast para ser exactos) que se traduce en: Pregunte al servidor que proporciona el DNS de Google, que se encuentra cerca, como se indica en la definición de su ISP.

Lo mismo aquí para CRL en lugar de DNS. No hay el servidor de CRL de Microsoft, hay una lista de revocación de certificados autorizada que mantiene Microsoft, pero se distribuirá al replicarse en varias máquinas en Internet. .

Se sorprende de que el servidor final al que se conecte se encuentre en su ISN ASN; pero solo eso tiene mucho sentido para su ISP, Microsoft y Akamai. No tengo ni idea de cuán grande o pequeño es su ISP, pero al configurarlo de esa manera, su ISP no tiene que cargar sus líneas de phyiscal a otras ASN con tráfico a crl.microsoft.com, sino que ejecutan un espejo por su cuenta red. Esto es común con muchos servicios.

Si está preguntando si debería confiar en ese mecanismo: básicamente está confiando en su ISP y Akamai aquí o no. Por supuesto, es posible que, por el motivo que sea, la duplicación de CRL en la red de su ISP no se actualice a tiempo y se pierda la revocación de un certificado, o su ISP podría teóricamente manipularlo por propósito.

En caso de que desee mitigar ese riesgo, averigüe si puede dirigir su navegador a cualquier otro servicio de CRL o invalide crl.microsoft.com en su mecanismo de resolución de DNS (por ejemplo, a través del archivo de hosts; consulte enlace ) no es un CNAME para ms.akadns.net sino un servicio diferente que parece más confiable para usted.

    
respondido por el TorstenS 07.09.2018 - 15:02
fuente
0

Pude leer los mensajes con certutil. Los registros de suma de comprobación y lista obtenidos son los mismos que los de otras redes y el repositorio de Microsoft . En realidad, solo se trata de un caché de ISP, como explica TorstenS amablemente.

Aquí es el mismo fenómeno. Akamai apunta a un servidor controlado por ISP de Embarq.

    
respondido por el Inerva 14.09.2018 - 23:51
fuente

Lea otras preguntas en las etiquetas

¿Qué problema habría con una clave privada abierta para que la usen los desarrolladores? ¿Las características de tipo automático de los administradores de contraseñas son realmente efectivas contra los keyloggers?