Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Раздел полезных советов: Защита от подмены TLS-сертификатов в результате MITM-атаки провайдером" | +/– | |
Сообщение от auto_tips (??), 21-Окт-23, 13:33 | ||
Для предотвращения получения TLS-сертификатов третьими лицами, которые в ходе MITM-атаки могут контролировать трафик сервера, рекомендовано использовать DNS-запись CAA, через которую можно указать какой именно удостоверяющий центр и какая именно учётная запись в этом удостоверяющем центре авторизированы на выдачу сертификата для домена. | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
1. "Защита от подмены TLS-сертификатов в результате MITM-атаки провайдером" | +/– | |
Сообщение от Аноним (1), 21-Окт-23, 13:33 | ||
Гдето в заголовке стоит добавить что речь о получении tls серта сервером. | ||
Ответить | Правка | Наверх | Cообщить модератору |
2. "Защита от подмены TLS-сертификатов в результате MITM-атаки провайдером" | +/– | |
Сообщение от Аноним (2), 21-Окт-23, 15:37 | ||
Там просто сверяют эталонный список корневых сертификатов со списком, установленным у клиента. Это не поможет в ситуации как с jabber.ru (https://www.opennet.dev/59965 ), когда валидный сертификат был получен владельцем сервера в Let's Encrypt и MITM-атакующий тоже получил фиктивный сертификат через Let's Encrypt, на время переправив трафик к себе. Раньше помогал pinning сертификатов, но его убрали из браузеров и он был актуален для долгожвивущих сертификатов, а на тех, что на 3 месяца выдаются. | ||
Ответить | Правка | Наверх | Cообщить модератору |
3. "Защита от подмены TLS-сертификатов в результате MITM-атаки провайдером" | +1 +/– | |
Сообщение от fyjybv (?), 21-Окт-23, 16:34 | ||
>привязка DNS к учётной записи letsencrypt | ||
Ответить | Правка | Наверх | Cообщить модератору |
23. "Защита от подмены TLS-сертификатов в результате MITM-атаки провайдером" | +/– | |
Сообщение от Пряник (?), 26-Окт-23, 14:22 | ||
HPKP ещё от компрометации центра сертов защищает. | ||
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору |
4. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | +4 +/– | |
Сообщение от Аноним (4), 21-Окт-23, 22:17 | ||
И все равно все сводится к ЦА. Могут проверить, а могут и выпустить для особого случая непроверенный сертификат. | ||
Ответить | Правка | Наверх | Cообщить модератору |
11. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | +2 +/– | |
Сообщение от Аноним (11), 24-Окт-23, 12:42 | ||
Это палево, выписать сертификат если у вас есть политика САА и атакующий не имеет валидного ключа. | ||
Ответить | Правка | Наверх | Cообщить модератору |
21. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | +/– | |
Сообщение от fi (ok), 25-Окт-23, 09:38 | ||
> перестроено на сквозное шифрование | ||
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору |
5. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | +/– | |
Сообщение от OpenEcho (?), 22-Окт-23, 13:54 | ||
> example.com. IN CAA 0 issue "letsencrypt.org; accounturi=https://acme-v02.api.letsencrypt.org/acme/acct/1234567890" | ||
Ответить | Правка | Наверх | Cообщить модератору |
26. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | +1 +/– | |
Сообщение от Tron is Whistling (?), 29-Окт-23, 09:46 | ||
"На облаках" вы можете генерировать хоть у себя на коленке - "заглянувший" внутрь хоста вася всё равно получит приватный ключ вашего сертификата вместе с сертификатом, и даже выписывать поддельный серт не надо. | ||
Ответить | Правка | Наверх | Cообщить модератору |
6. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | +2 +/– | |
Сообщение от OpenEcho (?), 22-Окт-23, 14:15 | ||
Ко всему тому, что написанно в статье + выполненно условие описанное выше мной, не плохо бы еще и перестраховаться и кронить переодически то что ниже | ||
Ответить | Правка | Наверх | Cообщить модератору |
24. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | +/– | |
Сообщение от ivan_erohin (?), 29-Окт-23, 08:27 | ||
> На этом сайте когда нибудь можно уже <code></code> или безобидный <xmp></xmp>? | ||
Ответить | Правка | Наверх | Cообщить модератору |
7. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | –1 +/– | |
Сообщение от OpenEcho (?), 22-Окт-23, 14:28 | ||
Да, и до кучи, покрехтелки: Hetzner & Linode - плохие, а вот ЛетсШитКрипт - "хорошие"... они то уж точно работают исключительно за идею и не сидят на бабках мордакниги и добросовестно все сливают в СТ ;) | ||
Ответить | Правка | Наверх | Cообщить модератору |
13. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | +1 +/– | |
Сообщение от Аноним (11), 24-Окт-23, 12:55 | ||
> Да, и до кучи, покрехтелки: Hetzner & Linode - плохие, а вот | ||
Ответить | Правка | Наверх | Cообщить модератору |
15. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | +/– | |
Сообщение от OpenEcho (?), 24-Окт-23, 13:24 | ||
>> Да, и до кучи, покрехтелки: Hetzner & Linode - плохие, а вот | ||
Ответить | Правка | Наверх | Cообщить модератору |
16. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | +1 +/– | |
Сообщение от Аноним (11), 24-Окт-23, 16:42 | ||
Вот как раз в ОCSP они перестали почти все заглядывать уже давно. А в сам СТ им заглядывать нет нужны, всё что нужно, есть в сертификате, который сервер любезно сообщает сам. | ||
Ответить | Правка | Наверх | Cообщить модератору |
18. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | +/– | |
Сообщение от OpenEcho (?), 24-Окт-23, 18:19 | ||
> А в сам СТ им заглядывать нет нужны | ||
Ответить | Правка | Наверх | Cообщить модератору |
29. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | –1 +/– | |
Сообщение от Аноним (29), 07-Ноя-23, 20:50 | ||
> А здесь мы верим браузерам... | ||
Ответить | Правка | Наверх | Cообщить модератору |
30. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | +/– | |
Сообщение от OpenEcho (?), 08-Ноя-23, 13:47 | ||
>> А здесь мы верим браузерам... | ||
Ответить | Правка | Наверх | Cообщить модератору |
32. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | +/– | |
Сообщение от Аноним (29), 08-Ноя-23, 21:41 | ||
Никакая, даже самая лучшая и максимально пост-квантовая криптография не спасёт от уязвимого железа. Но ты почему-то решил не доверять именно браузеру, который почему-то уместен в разговоре «конкретно о сертификатах», а железо, на котором он исполняется почему-то нет. Уж что-что, а переобуваться в прыжке любой опеннетчик умеет на олимпийском уровне. | ||
Ответить | Правка | Наверх | Cообщить модератору |
33. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | +/– | |
Сообщение от OpenEcho (?), 09-Ноя-23, 00:00 | ||
> Никакая, даже самая лучшая и максимально пост-квантовая криптография не спасёт от уязвимого железа. | ||
Ответить | Правка | Наверх | Cообщить модератору |
31. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | +/– | |
Сообщение от OpenEcho (?), 08-Ноя-23, 21:16 | ||
Прям во время, специально для вас постарались: | ||
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору |
8. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | +/– | |
Сообщение от OpenEcho (?), 22-Окт-23, 14:35 | ||
> и подключиться к сервисам мониторинга CT-логов (Certificate Transparency, отражают выданные удостоверяющими центрами сертификаты) | ||
Ответить | Правка | Наверх | Cообщить модератору |
12. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | +/– | |
Сообщение от Аноним (11), 24-Окт-23, 12:53 | ||
> Может кто-нибудь гарантировать, что то самый СТ, как бы случайно, (ну "ошибочки" | ||
Ответить | Правка | Наверх | Cообщить модератору |
14. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | +/– | |
Сообщение от OpenEcho (?), 24-Окт-23, 13:20 | ||
> при выписке сертификата в нём должно появиться не менее 2-х записей из | ||
Ответить | Правка | Наверх | Cообщить модератору |
17. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | +/– | |
Сообщение от Аноним (11), 24-Окт-23, 16:58 | ||
>> при выписке сертификата в нём должно появиться не менее 2-х записей из | ||
Ответить | Правка | Наверх | Cообщить модератору |
19. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | +/– | |
Сообщение от OpenEcho (?), 25-Окт-23, 00:02 | ||
> ну там, типа, блокчейн база.. | ||
Ответить | Правка | Наверх | Cообщить модератору |
9. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | +1 +/– | |
Сообщение от OpenEcho (?), 22-Окт-23, 15:08 | ||
Кстати, для копи-пастеров, бит 128 вместо 0 в САА записи - более полезен | ||
Ответить | Правка | Наверх | Cообщить модератору |
20. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | +/– | |
Сообщение от VecH (ok), 25-Окт-23, 04:56 | ||
В каком формате данные вколачивать на dns.he.net ? | ||
Ответить | Правка | Наверх | Cообщить модератору |
25. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | +/– | |
Сообщение от ivan_erohin (?), 29-Окт-23, 08:32 | ||
> В каком формате данные вколачивать на dns.he.net ? | ||
Ответить | Правка | Наверх | Cообщить модератору |
22. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | +/– | |
Сообщение от придурок (?), 25-Окт-23, 21:06 | ||
браузер заверещит же чё тут защищаться то | ||
Ответить | Правка | Наверх | Cообщить модератору |
35. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | +/– | |
Сообщение от Аноним (35), 16-Ноя-23, 13:17 | ||
Нет. Серт же действительный. Вы про кейс jabber.ru таки почитайте сначала. | ||
Ответить | Правка | Наверх | Cообщить модератору |
27. "Раздел полезных советов: Защита от подмены TLS-сертификатов в результате MITM-атаки провайдером" | +/– | |
Сообщение от Tron is Whistling (?), 29-Окт-23, 09:50 | ||
Как вы понимаете, всё это - honor-based, и никаких гарантий, что некий CA (даже тот, что обычно CAA хонорит) не выпишет серт из-за сбоя с проверкой этого самого CAA - нет. | ||
Ответить | Правка | Наверх | Cообщить модератору |
28. "Раздел полезных советов: Защита от подмены TLS-сертификатов в результате MITM-атаки провайдером" | +/– | |
Сообщение от Tron is Whistling (?), 29-Окт-23, 09:51 | ||
Надёжнее использовать stapling, потому что там хотя бы тысячиглаз, то есть браузеров, большинство из которых таки проверяют для себя любимого лично. Но и это не панацея. | ||
Ответить | Правка | Наверх | Cообщить модератору |
34. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | +/– | |
Сообщение от НоуНэйм (?), 12-Ноя-23, 15:32 | ||
Защититься от этого - элементарно и просто. | ||
Ответить | Правка | Наверх | Cообщить модератору |
36. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | +/– | |
Сообщение от Аноним (35), 16-Ноя-23, 13:45 | ||
Это да, но вот потом вам надо будет, чтобы юзеры проверяли, что этот сертификат самовыпустил именно ты, а не васян-хацкер или тащмайор. Вручную через какой-то условно доверенный канал. | ||
Ответить | Правка | Наверх | Cообщить модератору |
37. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" | +/– | |
Сообщение от Аноним (-), 17-Ноя-23, 17:08 | ||
Какой шикарный костыль. Потом окажется что DNS тоже можно подменять, понадобится еще DNSSEC какой-нибудь кривущий и что там еще. | ||
Ответить | Правка | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |