Cómo detener / detectar a alguien más registrando un certificado para mi dominio

11

Con la proliferación de CA automatizadas de bajo costo, se puede hacer para mitigar el ataque de alguien que realiza un ataque de phishing para obtener un inicio de sesión en nuestro sistema de correo web, y luego usar un servicio automatizado como RapidSSL para emitir un nuevo certificado para% ¿Co_de% a widgetco.com ?

Estoy seguro de que algunas cejas se levantarían en RapidSSL, si alguien como [email protected] solicitara un certificado. ¿Hay algo que pueda hacer también?

    
pregunta Scott Chamberlain 02.06.2013 - 18:19
fuente

4 respuestas

8

Esto es realmente una cuestión de las políticas de cada CA. La mayoría de ellos requieren una prueba de propiedad de un dominio antes de emitir un certificado. Incluso con las AC baratas, esto generalmente implica verificar si un contacto de WHOIS puede recibir un correo electrónico o hacer entradas en los registros DNS del dominio.

    
respondido por el AJ Henderson 02.06.2013 - 19:16
fuente
7

Estoy de acuerdo con AJ en que incluso las AC baratas implican la verificación de correos electrónicos de datos recuperados de una solicitud de WHOIS. Pero este tipo de verificación a menudo tiene muchos agujeros y no asegura criptográficamente la validación. Ese es un atacante que puede espiar / alterar potencialmente el tráfico no cifrado en Internet:

  • interceptar el correo electrónico enviado a través de Internet desde la CA (SMTP es un protocolo de texto simple, solo algunas veces enviado con TLS),
  • modifique la respuesta del DNS (nuevamente, a menudo se envía en texto sin formato) para el dominio del contacto administrativo al que se envía el correo electrónico,
  • realice un ataque de suplantación ARP en la CA que nuevamente dirige el tráfico de la CA a otra computadora,
  • modifique la solicitud de WHOIS que realiza la CA (reemplazando la dirección de correo electrónico de contacto administrativo con una dirección controlada por el atacante).

Un atacante que pueda realizar cualquiera de estos ataques debería poder generar un certificado firmado por una CA. Una vez más, estos generalmente no son los tipos de ataques que los niños de script podrían hacer, pero un ISP o un gobierno podrían hacer.

    
respondido por el dr jimbob 02.06.2013 - 19:56
fuente
4

Los proveedores de navegadores y sistemas operativos (Firefox, Chrome, Microsoft ...) incluyen certificados de CA en su "almacén de CA de confianza" predeterminado bajo ciertas condiciones estrictas sobre el funcionamiento de la CA: su Declaración de prácticas de certificación . La premisa es que si una CA se comporta mal, por ej. Al ser demasiado fácil de estafar para emitir certificados falsificados, los proveedores del sistema operativo / navegador eliminarán la CA del almacén de CA de confianza predeterminado. Y los proveedores de navegadores / sistemas operativos lo harán solo si se ajusta a sus propios intereses, un concepto que se expresa mejor en términos financieros.

En realidad, lo único que puede hacer es mantener a su abogado preparado y listo para despedir. Si una CA se comporta mal y emite un certificado falso para su dominio, amenace a la CA y amenace a los proveedores del navegador / sistema operativo, que deben ser, por necesidad, los que garanticen la limpieza de los almacenes de confianza predeterminados. En definitiva, todo es cuestión de la presión del mercado. "El miedo mantendrá a los sistemas locales en línea".

    
respondido por el Thomas Pornin 22.07.2013 - 22:19
fuente
0

AJ lo entendió bien, hay muy poco que un cliente pueda hacer. La naturaleza de este sistema es interesante, ya que no importa lo que haga el cliente, aún pueden ser víctimas. Ir con una CA de primer nivel (y probablemente pagar más) no lo hace seguro, cualquiera de las otras CA puede emitir un certificado para su dominio.

En cierto sentido, los fabricantes de navegadores son los verdaderos clientes de la CA. Aceptan y utilizan el producto de las AC en forma de certificados firmados. Si una CA se comporta mal o tiene prácticas deficientes que conducen a certificados maliciosos, los fabricantes de navegadores pueden optar por eliminar esa CA de su tienda de confianza. Probablemente sea una llamada difícil porque la eliminación de una CA podría afectar a una gran cantidad de sitios y empresas.

    
respondido por el u2702 23.07.2013 - 00:38
fuente

Lea otras preguntas en las etiquetas