¿Puedo entregar un certificado SSL autofirmado para el dominio B del dominio A y luego las conexiones MITM al dominio B después de haber sido aceptado?

Question

¿Puedo entregar un certificado SSL autofirmado para el dominio B del dominio A y luego las conexiones MITM al dominio B después de haber sido aceptado?

#1 de Steffen Ullrich (0 votos)

0

Puedo generar un certificado autofirmado para cualquier nombre común, como www.google.com . Si tengo un servidor en example.com y sirvo un certificado con el nombre común www.google.com y el usuario lo acepta . ¿Eso me permitiría MITM una conexión a www.google.com con ese certificado sin que tengan que aceptarlo nuevamente?

Si no, ¿qué impide que funcione? ¿Mantiene el navegador una tabla de huellas digitales de certificado para el dominio del que proviene?

Lo probé yo mismo y no funcionó, pero estoy buscando una validación adicional ya que es posible que mi prueba haya fallado.

tls certificates man-in-the-middle

pregunta Hem 27.04.2018 - 07:49

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls certificates man-in-the-middle

Cómo determinar las tasas de protección DoS para firewall ¿Algún hecho sobre el robo de la clave secreta de los usuarios en algún grupo?

score 0 · Accepted Answer

Si el usuario agrega una conexión explícita para un certificado mientras visita un sitio, esta excepción solo se agrega para la combinación de este sitio de destino específico y este certificado específico. En su ejemplo específico, significa que el certificado se aceptará solo para example.com pero no para www.google.com , ya que esta excepción solo se agrega para el objetivo example.com . No importa que el certificado contenga también un nombre alternativo del sujeto para www.google.com .

Por lo que recuerdo, el comportamiento fue diferente hace mucho tiempo cuando se agregó la excepción para un certificado independiente del sitio. Fue arreglado para defenderse exactamente del escenario que has descrito.