¿Qué campos de un certificado sospechoso debo ver?

7

Viendo un certificado para un sitio web (en Windows / Google Chrome) veo que enumera los siguientes campos

  • Versión
  • número de serie
  • algoritmo de firma
  • Emisor
  • Válido desde
  • Válido para
  • Asunto
  • Clave pública
  • Restricciones básicas
  • Políticas de certificados
  • Puntos de distribución de CRL
  • Uso de claves mejorado
  • Uso de claves
  • Nombre alternativo del sujeto
  • Acceso a la información de la autoridad
  • Algoritmo de huella digital
  • huella digital

En algunas circunstancias, el navegador transmite el problema.

Por ejemplo,

  • Certificado aún no válido / caducado: en este escenario, 'Válido desde' o 'Válido hasta' está mal

  • Certificado para un sitio web diferente: en este escenario, el "Asunto" es malo

Recuerdo que me dijeron que en un certificado sospechoso algunos campos deberían verificarse manualmente / explícitamente. No puedo recordar qué campos entre los anteriores son relevantes, ni qué buscar en estos campos.

Por ejemplo, ¿qué pasaría si el campo "Restricciones básicas" en el certificado es incorrecto? ¿O si el campo "Políticas de certificado" es malo?

¿Qué campos de un certificado sospechoso debo ver?

EDITADO: Respuestas útiles para todos. ¡Gracias!

¿Cuál es el significado de los campos 'Restricciones básicas' y 'Políticas de certificado'? Eché un vistazo a RFC5280 pero soy demasiado denso para entender el significado de la descripción

    
pregunta Everyone 16.12.2011 - 12:49
fuente

4 respuestas

5

¡Mira el campo Emisor también! Como se explica en ¿Qué tan factible es que una CA sea hackeada? , realmente no puede confiar en todo el Certificado Autoridades allá afuera, y en realidad todo el modelo de CA es defectuoso. Por lo tanto, un campo para ver es el campo Emisor, y es posible que desee una función de navegador que advierta si está viendo un certificado emitido por una CA no confiable. Esto abarca tanto a las CA que son propiedad de países en los que no quiere confiar con sus datos como a las que tienen procedimientos de emisión o seguridad defectuosos y certificados erróneamente certificados.

Otro caso para el que debe estar alerta es el caso en el que su servidor proxy emite certificados a través de una CA que se ha incorporado a su navegador, algo que algunas organizaciones hacen porque no confían en sus empleados. Ver por ejemplo algunos de los software de proxy corporativo como Blue Coat , que también se pueden usar en Siria.

    
respondido por el nealmcb 27.12.2011 - 01:15
fuente
3

Bueno, eso depende de alguna manera del grado de profesionalidad del sitio web que está visitando y de la sensibilidad de la información que comparte con el sitio web.

  • Si es el sitio web de su banco o el sitio web solicita la información de su tarjeta de crédito, no toleraría ningún error.

  • Un sitio web como MDN no maneja ninguna información confidencial (excepto su contraseña de MDN), pero es administrado por profesionales . Cualquier error aquí es sospechoso.

En cuanto a los errores particulares que mencionas:

  • Certificado aún no válido , descartando la posibilidad de un error mayor por parte del administrador del sitio web, generalmente significa que el reloj del sistema de su computadora no está configurado correctamente. Comience con la comprobación de que.

  • Certificado caducado por lo general significa exactamente eso. Esto puede suceder en sitios web semi-profesionales, pero esto no ocurrirá en el sitio web de su banco.

  • El certificado es para un sitio web diferente también es común en los sitios web semiprofesionales.

    • Si el sitio que está visitando es foo.example.com y el certificado es para bar.example.com , verifique si ambos sitios pertenecen al mismo servicio (por ejemplo, facturación y soporte). Si lo son, el administrador perdió una clase o dos al aprender a configurar un sitio web, pero no hay un problema real.

    • Si foo.example.com y bar.example.com pertenecen a diferentes servicios (por ejemplo, blogs de diferentes personas), no continúe.

    • Si está visitando example.com , pero el certificado es para scam.com , no continúe.

  • El certificado no es confiable significa que el certificado no fue firmado por una autoridad certificadora confiable.

    • Cualquiera puede crear un certificado para yourbank.com y firmarlo él mismo, pero el certificado de un sitio web profesional siempre estará firmado por una autoridad de certificación confiable.

    • Los sitios web semi-profesionales y privados a menudo usan certificados autofirmados, ya que son fáciles de crear y gratuitos. El problema es que, si bien proporcionan secreto (encriptación), no proporcionan ninguna confidencialidad (cualquiera podría falsificar el certificado). Si el sitio solicita información que no ingresa en un sitio web sin cifrar, no continúe.

respondido por el Dennis 16.12.2011 - 14:02
fuente
3

Es inútil mirar los campos: si un certificado es válido o no es el producto de un algoritmo complicado (consulte la sección 6 de RFC 5280 - pero no hagas eso si quieres mantener tu cordura más o menos intacta) y el navegador es mejor que tú para ejecutar ese algoritmo (muchos navegadores son en realidad bastante malos, pero los seres humanos son solo peores). Un cuidadoso análisis manual puede terminar señalando el punto plausible en el que el propietario del servidor o su CA lo entendieron mal; pero no puede excluir lógicamente la posibilidad de un ataque. Si el navegador dice "eso no es bueno", entonces no es bueno. Si hubiera una manera fácil de "salvar" un certificado defectuoso, entonces el navegador también lo implementaría y no informaría un error.

Los únicos campos que realmente valen la pena ver son las fechas de validez: hay dos situaciones comunes que se manifiestan por un mensaje de "certificado caducado" o "certificado aún no válido", y al menos uno de ellos puede resolverse en tu lado:

  1. El certificado expiró hace unas horas. El propietario del servidor olvidó renovarlo a tiempo. Como las verificaciones de revocación son asíncronas por naturaleza, usted puede decidir tolerar un certificado un poco desactualizado (por "ligeramente" quiero decir "por uno o dos días como máximo"). Esa es tu decisión.

  2. El certificado es actualmente válido; esa es su computadora que tiene un reloj incorrecto. Si las fechas de inicio y finalización de la validez del certificado parecen incluir la fecha actual, es hora de verificar si la fecha y la hora están configuradas correctamente en su máquina. Por ejemplo, tengo una computadora portátil vieja que tiene una tendencia a volver a 1969 cuando está solo por más de unos pocos días.

respondido por el Thomas Pornin 26.12.2011 - 22:14
fuente
-1

¿Qué otros cheques que no sean valid from y valid to pueden hacer? Es lo mismo que si alguien te diera (supongo que estás en India) te da un billete de banco de Argentina. ¿Cómo compruebas que sea válido?

    
respondido por el ott-- 16.12.2011 - 21:00
fuente

Lea otras preguntas en las etiquetas