Ataque MITM de certificado SSL para dominios vencidos

Navega tus respuestas
7

Digamos que tengo un nombre de dominio, como mysupercoolproduct.com . Compro un certificado SSL de 2 años para eso, y luego soy negligente y el dominio es secuestrado por alguien más. Todavía tengo un certificado SSL válido para el dominio, pero ya no soy dueño del dominio. (Esto también podría ocurrir si le vendiera el dominio a alguien)

¿Qué mecanismos existen para invalidar un certificado SSL válido firmado pero ilegítimamente poseído? Dado que mi certificado SSL simulado fue firmado por una CA legítima, los navegadores no tienen una razón para no confiar en él. Esto me permitiría llevar a cabo el ataque MITM del siglo hasta que caduque.

¿Hay alguna forma de invalidar globalmente todos los certificados SSL para un dominio, si el dominio caduca o se vende a otra empresa?

    
pregunta DarthCaniac 26.05.2016 - 18:06
fuente

1 respuesta

2

PKI Infrastructure proporciona los medios para hacer esto a través de las listas de revocación. Si compra un dominio de otra persona, o arrebata uno que ha caducado, parte de esa responsabilidad recae en la parte compradora. Deben hacer su debida diligencia y ponerse en contacto con la autoridad emisora de CA para invalidar cualquier otro certificado que esté disponible. Estoy seguro de que la CA exige algún tipo de prueba antes de que solo invaliden aleatoriamente el certificado de un Dominio, pero nunca lo he hecho antes. Entre OCSP y las listas de revocación estándar, esto no debería ser un problema difícil de superar si los administradores de su sistema web / web están haciendo su trabajo correctamente.

    
respondido por el Mortesil 13.07.2016 - 17:47
fuente

Lea otras preguntas en las etiquetas

¿Thunderbolt sigue siendo inseguro? ¿Cuáles son los métodos más eficaces para obtener fondos de seguridad dentro de una organización?