Suponiendo que tenemos una "conexión de barra verde" a un sitio web, por ejemplo:
¿Unatacanteaúnpuedeolernuestrotráfico?
¿Quétanseguroestáunusuariodelosataquesdelhombreenelmediocuandohaestablecidouna"conexión de barra verde"?
Es posible pero muy poco probable:
Un atacante podría haber creado un certificado falso basado en comprometer un certificado de CA o una ingeniería inversa válida. Se cree que ambos son difíciles, por lo que se cree que el sistema es seguro, pero han ocurrido antes. Por lo general, una vez que se conoce el alcance del compromiso, los desarrolladores de su sistema operativo o navegador impulsarán una actualización que revoque la confianza en cualquier certificado fraudulento o comprometido.
Un atacante también podría haber insertado su propio certificado de "raíz confiable" en su máquina mediante un caballo de Troya. Si se hace eso, cualquier certificado con una cadena de confianza basada en esa raíz será de confianza para su computadora. Las herramientas de eliminación de malware pueden detectar y eliminar raíces confiables fraudulentas conocidas, así como buscar troyanos que intenten instalarlos en primer lugar.
Un troyano instalado también puede registrar claves, eludir las comunicaciones seguras por completo; si un atacante puede ver los caracteres que ingresa a medida que los escribe en su propia máquina, no necesita comprometer el canal TLS; puede ver lo que escribe antes de que esté cifrado, incluidos los nombres de usuario y las contraseñas. Una vez más, el registro de teclas es un problema común que el software AV "rastrea" para los procesos en memoria.
Creo que ahora estoy a salvo de todos los intentos de phishing y pharming.
Dado que solo unas pocas CA pueden emitir tales certificados de validación extendida (EV) de "barra verde", usted tiene más razón si confía en los certificados EV. Es posible que la CA haya sido pirateada, como se hizo con Comodo y DigiNotar en 2011. No es posible que un atacante simplemente agregue una CA al sistema porque la lista de CA que pueden emitir certificados EV está codificada de forma rígida El navegador (al menos con Firefox y Chrome), por lo que un atacante necesitaría parchear o reemplazar su navegador para mostrar sus propios certificados falsos con verde.
Falsificar certificados que no son de EV es mucho más fácil porque cualquiera de los 100 de CA confiables en el navegador o cualquiera de sus sub-CA podría emitir dicho certificado. Lo que significa que un atacante puede simplemente elegir la CA / sub-CA más débil. Y para los certificados que no sean de EV, también es suficiente importar una nueva CA en su navegador, lo que un troyano podría hacer.
Por supuesto, el atacante también podría intentar abrir una nueva ventana donde emule todo el navegador con JavaScript, incluida la barra de URL verde y la decoración de la ventana (he visto un ataque similar hace mucho tiempo en el que intentó emular Internet). ventana del explorador).
¿Hay otras vulnerabilidades?
Lotes. Con frecuencia, existen vulnerabilidades de las aplicaciones web como la inyección XSS y SQL, incluso en sitios con un certificado EV. El certificado no dice nada sobre la seguridad del sitio en sí, solo se utiliza para identificar el sitio.
¿Todavía es posible que yo sea hackeado?
Por supuesto. El sitio podría ser hackeado y servir malware. O el sitio podría publicar anuncios y los anuncios servirán al malware (esto se denomina publicidad maliciosa). Nuevamente, el certificado no dice nada sobre la seguridad del sitio o de cualquier sitio incluido (anuncios, seguimiento, redes sociales ...).
Lea otras preguntas en las etiquetas public-key-infrastructure web-browser tls dns chrome