¿Un certificado de cliente identifica al propietario en sitios web no relacionados?

Navega tus respuestas
57

Si instalo un certificado de cliente en mi navegador, ¿qué sitios web pueden ver información sobre este certificado de cliente o la CA que lo emitió?

Una vez visité un sitio de diagnóstico de SSL que inmediatamente reportó información de uno de mis certificados de cliente, incluido mi nombre (que había puesto en la CA que emitió el certificado de cliente).

Esto está relacionado con: Protección de información en certificados de cliente TLS Pero se trata de cómo se envía el certificado al sitio web para el que está destinado. Estoy preguntando sobre sitios web no relacionados.

    
pregunta user13097 10.12.2018 - 23:37
fuente

1 respuesta

68

Pregunta interesante! ¡Resulta que tengo un navegador lleno de certificados de prueba y varios sitios de prueba para conectarme! ¡Vamos a probar esto!

(Salta a la parte inferior de un resumen)

Investigación

Pruebas en Firefox

Firefox cargado con certificados, un sitio de prueba que requiere un certificado de cliente TLS, Wireshark.

Reinicié Firefox para obtener una sesión limpia. Luego ingresé a la URL de un sitio web que pedirá un certificado de cliente TLS y me detuve una vez que obtuve la ventana emergente "Por favor elija un certificado". Esta es la captura de paquetes de Wirehark hasta ese punto:

Cosasatenerencuenta:

ElclienteenvíaunClientHellogenérico.

ElservidorenvíaunServerHelloqueincluyeelcertificadodeservidoryunasolicituddeuncertificadodecliente.

Enestepunto,Firefoxpresentalaventanaemergenteparaqueseleccioneelcertificadoquedeseoenviar.SipresionoCancelar,nohaymástráficodered,esdecir,noseenvíanadaalservidormásalládelClientHellogenéricoquenocontieneinformacióndeidentificaciónpersonal.(apartedelalistadesuitesdecifradocompatibles,quepodríanusarseparadeterminarquéversióndequénavegadorestáusando)

Nota1:probélamismapruebaconsolouncertificadodeclienteenminavegador,einclusohiceclicen"Recordar esta decisión" en la ventana emergente de selección de certificados y obtengo el mismo resultado. Por lo tanto, no puedo reproducir el resultado de los datos privados que se envían al servidor sin que yo haga clic en "Aceptar".

Nota2: Como lo señaló @JohnWu en los comentarios, puede cambiar el comportamiento de Firefox en la configuración, en cuyo caso se comporta de la misma manera insegura que Chrome a continuación. La configuración predeterminada es:

PruebasenChrome

Exactamenteelmismoescenariodepruebaanterior,peroconChrome.(TengaencuentaqueChromenotienesupropioalmacéndecertificados,sinoqueutilizasualmacéndecertificadosdeWindows,queesunpocomásdifícildemanipularqueFirefox.Losdetallesnoseincluyenaquí).

¡¡BINGO!!Chromeinmediatamentecomienzaaenviarcertificadosdeclientealservidorsinqueelusuariolosolicite.Estecertificadofuerechazadoporelservidorporqueesecertificadoeraparaunsitiowebdiferente.Sí,esoesunproblemadeprivacidad,estábien.

Nota 1: @JohnWu señala que es posible cambiar este comportamiento y tener el indicador de Chrome, pero no es el comportamiento predeterminado, y debes hacerlo en la política de grupo de Windows (GPO) para hacerlo.

Nota2: la reproducibilidad de esto puede depender de cómo se configuró el sistema operativo de Windows, ya que Chrome tiende a heredar gran parte de su configuración de seguridad de IE.

Resumen

En mis pruebas con los dos navegadores que tengo en mi entorno de prueba (Firefox y Chrome), Chrome mostró el comportamiento que usted describe (certificados de cliente de spam en el servidor, independientemente de que sean de un sitio diferente), mientras que Firefox amablemente Me pidió que confirmara qué certificado enviar, incluso cuando solo tenía un certificado instalado.

Conclusión: si te importa la privacidad, Chrome no es tu amigo. Usa Firefox en su lugar.

    
respondido por el Mike Ounsworth 11.12.2018 - 00:26
fuente

Lea otras preguntas en las etiquetas

¿Debería RSA exponente público solo en {3, 5, 17, 257 o 65537} debido a consideraciones de seguridad? ¿Por qué no se encripta WiFi abierta?