¿Mi conexión SSL está encriptada si el certificado no es confiable?

7

En Chrome, cuando visito un sitio que se sirve mediante SSL con un certificado no confiable, se activa la advertencia de privacidad y me impide conectarme a menos que realmente lo desee. En este caso, con un certificado autofirmado, ¿mi conexión aún está encriptada (o qué otros peligros surgen de este escenario)?

    
pregunta jars 12.01.2016 - 06:55
fuente

2 respuestas

9

SSL consta de dos partes principales:

  • el cifrado de los datos
  • la validación de que realmente está hablando con el servidor esperado

Si recibe una advertencia sobre un certificado que no es de confianza, el cifrado seguirá funcionando, pero no puede estar seguro de que esté hablando con el servidor esperado. Esto significa que un hombre en el ataque central podría ser posible donde un atacante activo descifre, olfatee y vuelva a cifrar el tráfico. Eso es en lugar de esto:

     Browser <----------- encrypted -----------------------> Bank

obtienes esto:

     Browser <-- encrypted --> Attacker <--- encrypted ----> Bank

En este caso, el atacante puede rastrear todos los datos (contraseñas, etc.) e incluso modificar los datos y el cliente no lo notará. Las conexiones aún están encriptadas, pero no de extremo a extremo (de navegador a servidor), sino de navegador a atacante y, de nuevo, de atacante a servidor.

Por lo general, no debes anular la advertencia del navegador porque hay muchas posibilidades de que haya un hombre en el ataque central en curso. Solo en el caso de que sepa que el certificado es el esperado (verifique la huella digital, no solo el sujeto del certificado) puede anular la advertencia.

Tenga en cuenta que hay casos de personas legales en el centro de los ataques, es decir, la intercepción SSL realizada por proxies antivirus o por middleboxes (firewalls) para que estos puedan analizar el tráfico cifrado. En este caso, su computadora se configura automáticamente para confiar en estos certificados o necesita importar explícitamente la CA-proxy que firmó los nuevos certificados. Si tiene este tipo de problema mientras usa su propia computadora dentro de la empresa, pregunte al administrador de la red cómo debe proceder y no acepte simplemente los certificados.

    
respondido por el Steffen Ullrich 12.01.2016 - 09:41
fuente
2

Su conexión está encriptada, pero a menos que realice una verificación manual del certificado, no está seguro de a quién está conectado (lo que, por definición, podría escuchar la conexión). Esta es la llamada persona (o hombre) en el ataque central.

    
respondido por el Lucas Kauffman 12.01.2016 - 07:34
fuente

Lea otras preguntas en las etiquetas