¿Por qué este certificado para Imgur solo es válido por un día?

61

Estoy conectado a través de una cafetería WiFi y recibí una advertencia de mi navegador móvil. Cuando busqué más, parece que el certificado solo es válido por un día, lo que parece muy sospechoso.

Dice Imgur, pero entonces ¿por qué está marcado y por qué solo es válido por un día?

Aquí está el mismo certificado mientras usas los puntos de acceso / datos de un amigo:

No he encontrado otro certificado afectado.

    
pregunta Pureferret 05.05.2018 - 17:31
fuente

3 respuestas

88

Este no es uno de los certificados Imgur.

Registros de transparencia de certificados

Las Autoridades de Certificación deben reportar todos los certificados que generan a los registros de transparencia, que son bases de datos públicas. Esto permite a los usuarios-agentes, como Chrome, verificar que este certificado pueda ser auditado por el propietario del sitio web.

De acuerdo con las siguientes herramientas de búsqueda de transparencia de certificados, este certificado no se registró, y para Imgur no es habitual una vida útil tan corta:

Filtro DNS

Según los mensajes de error, este certificado no ha sido emitido por una autoridad de certificación válida, por lo que no puede confiar en el emisor.

El emisor afirma ser "DNSFilter".

DNSFilter es un proxy que se utiliza para filtrar solicitudes , y también trata de proxy Solicitudes HTTPS , por lo que genera un certificado autofirmado para cada dominio.

Como no puede confiar en el emisor, no puede estar seguro de que el certificado proviene del producto DNSFilter real. Cualquiera podría imitarlo.

Es seguro asumir que esto no es un certificado legítimo para Imgur.

Se desconoce el motivo exacto de una vida útil tan corta para el certificado.

    
respondido por el Benoit Esnard 05.05.2018 - 17:55
fuente
68

Esto es aparentemente un ataque MITM. Alguien está intentando interceptar la conexión.

Si es un atacante malicioso de terceros o la cafetería que intenta filtrar contenido / insertar anuncios (relativamente inocuo) es imposible decirlo con seguridad. Si bien el certificado afirma ser emitido por Filtro de DNS , es imposible decir si realmente lo fue. Cualquiera puede crear un certificado con el nombre que dice ser "Filtro de DNS", y el certificado no está firmado por nadie, por lo que no puede confiar en lo que dice. Puede que realmente haya sido creado por el filtro DNS, pero también podría tratarse de un atacante malintencionado que intenta ganarse su confianza usando un nombre reconocible. NO debe asumir que realmente fue creado por el filtro DNS.

De cualquier manera, ciertamente no es un certificado de imgur genuino.

    
respondido por el Peter Harmann 05.05.2018 - 17:43
fuente
28

¿Es válido este certificado

No, se genera sobre la marcha por DNSFilter o un atacante que pretende ser DNSFilter realizando un ataque MITM.

¿Por qué se presenta este certificado

DNSFilter permite monitorear el uso de la red y bloquear sitios, pero cuando bloquea un sitio, quiere mostrar un mensaje de error, por lo tanto, si el tráfico está encriptado, debe poder desencriptarlo, lo que solo puede hacer:

  • Tener el certificado original
  • Hacer un nuevo certificado

¿Por qué hay una advertencia

Como su máquina no confía en el nuevo certificado, recibirá una advertencia. Esto es cierto en ambos casos, una CA atacante no sería confiable, pero también lo haría la CA DNSFilter

¿Por qué el certificado solo es válido por un día

Esto puede deberse a muchas razones, pero una importante es tratar de reducir el riesgo que representa cada certificado individual si se filtra. La idea es que mientras el certificado raíz se mantenga seguro, incluso si un certificado de sitio se filtra, solo los dispositivos que confían en la CA confían en él.

Como los certificados se generan sobre la marcha, no hay problema con la reemisión regular que esto requiere.

¿Es una buena idea la intercepción SSL?

La intercepción SSL es generalmente una muy mala idea, por muchas razones:

  • El dispositivo interceptor puede registrar datos confidenciales
  • Las claves pueden ser iguales para todos los dispositivos, por lo que cualquier persona puede interceptar con una copia de la clave maestra
  • La clave se puede obtener del dispositivo, lo que hace que cualquiera pueda interceptar
  • Los certificados EV se han rebajado a certificados estándar
  • Las aplicaciones que usan el anclaje no funcionarán con el certificado modificado

Hay algunos casos en los que es aceptable, cuando es necesario absolutamente , pero estos no se aplican a WiFi pública, donde realmente no confías en el operador del punto de acceso.

    
respondido por el jrtapsell 05.05.2018 - 20:55
fuente

Lea otras preguntas en las etiquetas