¿HPKP es una alternativa a DNSSEC? [duplicar]

Navega tus respuestas
0

Usando el encabezado de fijación de clave pública, el usuario solo confía en mi certificado SSL, supuestamente.

Si uso solo el HPKP y el certificado es seguro, el atacante no lo obtuvo, ¿aún es posible que el atacante realice un MITM o algo así?

En mi mente, probablemente mal, el atacante aún puede redireccionar al usuario a otra ubicación, pero no tiene el certificado, por lo que el HPKP lo bloqueará. Esto evitará que el usuario consuma el contenido del servidor falso .

¿Tiene alguna razón para usar HPKP + DNSSEC?

    
pregunta Inkeliz 06.06.2017 - 08:15
fuente

1 respuesta

1

HPKP es TOFU (Trust On First Use). Entonces, si un sistema de usuario se vio comprometido, pero el navegador aún conserva el pin, cuando el malware redirige la solicitud de URL a un certificado falso para su falso proxy. el navegador mostrará un error como "SSL_PINNED_KEY_NOT_IN_CERT_CHAIN" (varía según el navegador).

Sin embargo, hay algún sitio que lo hace incorrectamente, por ejemplo, según el informe de Netcraft: Clave pública HTTP Pinning: ¡Lo estás haciendo mal!

Además, debido a su naturaleza TOFU, HPKP no es a prueba de balas para MiTM.

Sin embargo, si tiene una aplicación web / aplicación móvil que hereda el pin para HPKP, entonces su aplicación web está protegida contra el ataque de MiTM si se implementa correctamente

    
respondido por el mootmoot 06.06.2017 - 10:37
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo saber dónde se envió un correo electrónico falsificado utilizando bounce-backs en postfix? ¿Hay un dispositivo de memoria portátil con una técnica de borrado sin conexión? (como un interruptor de borrado)