Recientemente cambié accidentalmente la hora del sistema a un mes diferente, y luego navegué a un sitio seguro. Recibí una advertencia de Google Chrome que mencionaba la hora de mi sistema y dijo que el certificado no es válido.
Si tengo un certificado válido que está bien durante un período de tiempo que ya había pasado y puedo cambiar la hora del sistema, ¿qué pasaría? ¿Funcionaría bien? ¿Habría una advertencia de todos modos?
Las explicaciones serán bienvenidas.
La verificación de certificados implica verificar varias fechas con respecto a "la hora actual" tal como lo conoce el sistema que realiza la verificación (es decir, su computadora de escritorio o computadora portátil). En particular, su sistema intentará obtener información de revocación nueva (la CRL). Si el reloj de su sistema está apagado, no considerará la CRL que pueda descargar como "nueva"; puede emitir advertencias de miedo, en particular si ve una CRL "del futuro".
Además, en SSL / TLS , el cliente y el servidor se informan mutuamente de su noción de la hora actual. Una vez más, las discrepancias podrían ser advertidas.
Para resumir, cambiar el reloj para aceptar un certificado que ha caducado puede "funcionar", pero no "funcionar bien". Esto, por supuesto, depende de la indulgencia de su navegador con respecto a la validación de certificados, por lo que el mejor curso de acción para su problema particular es probarlo . Cree su propia CA, emita un certificado de servidor con una fecha de caducidad anterior, instale su CA como una CA de confianza en su navegador, haga retroceder el reloj, conéctese a un servidor de prueba que use su certificado de prueba caducado y vea qué sucede. De todos modos, esto difícilmente sería una configuración razonable para los usos de producción (pedirle a sus clientes que restablezcan su reloj es, digamos, comercialmente subóptimo).
Los certificados SSL tienen el propósito principal de certificar a un cliente que se han conectado al sitio correcto al que intentaban acceder. Es responsabilidad del cliente verificar la hora en que el certificado es válido en su propio tiempo. Debido a que su tiempo terminó con un mes de anticipación, probablemente navegó a un sitio que estaba a punto de necesitar reemplazar su certificado SSL, por lo que su navegador pensó que no era válido. Si cambia la hora en el servidor, el servidor lo considerará correcto, pero cualquier cliente que se conecte tendrá la hora real y rechazará el certificado como obsoleto.
Si cambia la hora del sistema, el certificado se considerará inválido si el navegador o el software que está utilizando usa la hora local del sistema como su fuente de tiempo. Hay algunas piezas de software que utilizan sistemas remotos para fuentes de tiempo y, por lo tanto, no se ven afectadas por un cambio de hora local, sin embargo, esto es raro.
La razón por la que se hace esto es porque los certificados se pueden descifrar mediante una fuerza bruta, pero eso lleva tiempo y ciclos sustanciales de CPU. Por lo general, verá un período de tiempo de 1 año para los certificados SSL públicos, pero pueden llegar a los 4 años con la mayoría de los proveedores grandes (VeriSign, Thawte, etc.). La teoría es que es "imposible" que la clave privada asociada con la clave pública (clave pública = certificado) se haga forzar a la fuerza bruta dentro de 1 año. Por lo tanto, las Autoridades de Certificación se abstienen de decir que este certificado es válido para siempre, porque en 10 años es muy posible que se pueda descifrar porque 1 - 10 años pasaron y 2 - se supone que las CPU serán mucho más poderosas a medida que pase el tiempo (ley de Moore / ley de Rose).
Para responder a su pregunta de manera más directa: sí, el certificado "funcionará bien", si está bien, quiere decir que cifrará sus comunicaciones, siempre y cuando acepte el riesgo (riesgo = advertencia) de que esto no sea un legítimo Servidor (Posible suplantación o intercepción de comunicación / Hombre en el medio). Si cambia la hora correcta de su reloj y no hay advertencias (y no ha dicho que permita la excepción de forma permanente en su navegador), puede estar razonablemente seguro de que no es víctima de un ataque. Lo que no se asegurará es la parte de "autenticación" de SSL, donde la Autoridad de Certificación avala el servidor, si se le solicita que haga clic en "aceptar".
Si quieres más detalles por favor házmelo saber. No estoy seguro de qué otra cosa le interesaría.
Lea otras preguntas en las etiquetas tls certificates attack-prevention
