Estoy conectado a través de una cafetería WiFi y recibí una advertencia de mi navegador móvil. Cuando busqué más, parece que el certificado solo es válido por un día, lo que parece muy sospechoso.
Dice Imgur, pero entonces ¿por qué está marcado y por qué solo es válido por un día?
Aquí está el mismo certificado mientras usas los puntos de acceso / datos de un amigo:
No he encontrado otro certificado afectado.
Este no es uno de los certificados Imgur.
Las Autoridades de Certificación deben reportar todos los certificados que generan a los registros de transparencia, que son bases de datos públicas. Esto permite a los usuarios-agentes, como Chrome, verificar que este certificado pueda ser auditado por el propietario del sitio web.
De acuerdo con las siguientes herramientas de búsqueda de transparencia de certificados, este certificado no se registró, y para Imgur no es habitual una vida útil tan corta:
Según los mensajes de error, este certificado no ha sido emitido por una autoridad de certificación válida, por lo que no puede confiar en el emisor.
El emisor afirma ser "DNSFilter".
DNSFilter es un proxy que se utiliza para filtrar solicitudes , y también trata de proxy Solicitudes HTTPS , por lo que genera un certificado autofirmado para cada dominio.
Como no puede confiar en el emisor, no puede estar seguro de que el certificado proviene del producto DNSFilter real. Cualquiera podría imitarlo.
Es seguro asumir que esto no es un certificado legítimo para Imgur.
Se desconoce el motivo exacto de una vida útil tan corta para el certificado.
Esto es aparentemente un ataque MITM. Alguien está intentando interceptar la conexión.
Si es un atacante malicioso de terceros o la cafetería que intenta filtrar contenido / insertar anuncios (relativamente inocuo) es imposible decirlo con seguridad. Si bien el certificado afirma ser emitido por Filtro de DNS , es imposible decir si realmente lo fue. Cualquiera puede crear un certificado con el nombre que dice ser "Filtro de DNS", y el certificado no está firmado por nadie, por lo que no puede confiar en lo que dice. Puede que realmente haya sido creado por el filtro DNS, pero también podría tratarse de un atacante malintencionado que intenta ganarse su confianza usando un nombre reconocible. NO debe asumir que realmente fue creado por el filtro DNS.
De cualquier manera, ciertamente no es un certificado de imgur genuino.
No, se genera sobre la marcha por DNSFilter o un atacante que pretende ser DNSFilter realizando un ataque MITM.
DNSFilter permite monitorear el uso de la red y bloquear sitios, pero cuando bloquea un sitio, quiere mostrar un mensaje de error, por lo tanto, si el tráfico está encriptado, debe poder desencriptarlo, lo que solo puede hacer:
Como su máquina no confía en el nuevo certificado, recibirá una advertencia. Esto es cierto en ambos casos, una CA atacante no sería confiable, pero también lo haría la CA DNSFilter
Esto puede deberse a muchas razones, pero una importante es tratar de reducir el riesgo que representa cada certificado individual si se filtra. La idea es que mientras el certificado raíz se mantenga seguro, incluso si un certificado de sitio se filtra, solo los dispositivos que confían en la CA confían en él.
Como los certificados se generan sobre la marcha, no hay problema con la reemisión regular que esto requiere.
La intercepción SSL es generalmente una muy mala idea, por muchas razones:
Hay algunos casos en los que es aceptable, cuando es necesario absolutamente , pero estos no se aplican a WiFi pública, donde realmente no confías en el operador del punto de acceso.
Lea otras preguntas en las etiquetas certificates wifi