¿Puede un certificado raíz local hacer que un usuario sea más susceptible al phishing?

Hoy en día, cualquier operador de phishing puede configurar un sitio de phishing con un certificado SSL / TLS válido de forma gratuita. Esto sucede mucho con Let'sEncrypt, pero también sucedió en el pasado con otras CA. Y los operadores de sitios de phishing utilizan SSL / TLS cada vez más frecuentemente.

El principal problema aquí es que la mayoría de los usuarios de Internet creen que HTTPS significa que el sitio web es seguro para visitar, es seguro. Lo cual no es cierto. La gente no entiende que HTTPS significa básicamente que la comunicación entre el navegador y el servidor web está protegida.

Entonces, si le preocupa que los usuarios sean engañados a través de sitios SSL / TLS, invierta energía en educación, pruebe a los usuarios con sitios de suplantación de identidad (phishing) y enséñeles cuándo fallaron en cómo podrían haber evitado / descubierto el sitio de suplantación de identidad.

Los certificados raíz en los certificados raíz confiables pueden aumentar los riesgos en diferentes áreas, pero la suplantación de identidad no es la prioridad aquí.

¿Quién estás imaginando que está haciendo la comprobación? Un usuario final estándar nunca comprobará quién emitió un certificado, por lo que no creo que haga que un usuario final sea más vulnerable al phishing. Tienes suerte si un usuario comprueba el nombre de dominio y busca el ícono de 'bloqueo' (los usuarios se caerán en ataques de phishing, punto. Ninguna cantidad de educación o planificación nos hace inmunes a ser engañados. Planea en consecuencia. :))

Pero, como se mencionó anteriormente en el usuario689443, es importante que el dispositivo no permita que un phisher "actualice" su certificado. He probado las aplicaciones proxy que no hicieron la validación correcta del certificado, e hizo exactamente eso: tome un certificado de auto-firma o de dominio incorrecto de mala calidad y saque uno que esté firmado y de confianza. ¡Ten cuidado con eso!

Y siempre vale la pena señalar que estos certificados son tan valiosos para alguien que ataca a su organización, ya que un certificado de CA raíz está en línea: debe tratarlos con cuidado y asegurarse de que no sean robados. De lo contrario, un atacante puede usar cualquier número de ataques para hacer esquemas de phishing esencialmente perfectos.

Debe configurar el derecho de dispositivo de intercepción SSL. Eso significa que el dispositivo debe bloquear todos los certificados autofirmados, inseguros o no confiables; En este caso, el dispositivo hará la verificación de confianza por usted. Pero esto necesita una organización de seguridad sólida, porque muchos (¿la mayoría?) Sitios HTTPS tienen errores de certificados. Aquí hay un sitio agradable que muestra la no tan buena seguridad de los sitios HTTPS: enlace

Por otro lado, desde la vista de un usuario, el concepto completo de Intercepción SSL no se ve tan bien. De acuerdo con un estudio real ( enlace ), el 10% de todo el tráfico de Internet cifrado está interceptado hasta ahora y todos los productos de intercepción están socavando el La seguridad de una manera que teme.

Es solo una compensación clásica: en nuestra red medimos un 40% de tráfico SSL cifrado hasta ahora, en el otro 60% encontramos 50.000 virus por año. Significa que no vemos 30.000 virus. El antivirus del cliente es muy débil. Así que decidimos comprar un dispositivo de intercepción SSL incluso si conlleva otros riesgos ...