Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Раздел полезных советов: Защита от подмены TLS-сертификатов в результате MITM-атаки провайдером" | +/– | |
Сообщение от auto_tips (??), 21-Окт-23, 13:33 | ||
Для предотвращения получения TLS-сертификатов третьими лицами, которые в ходе MITM-атаки могут контролировать трафик сервера, рекомендовано использовать DNS-запись CAA, через которую можно указать какой именно удостоверяющий центр и какая именно учётная запись в этом удостоверяющем центре авторизированы на выдачу сертификата для домена. | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по ответам | RSS] |
1. Сообщение от Аноним (1), 21-Окт-23, 13:33 | +/– | |
Гдето в заголовке стоит добавить что речь о получении tls серта сервером. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #2 |
2. Сообщение от Аноним (2), 21-Окт-23, 15:37 | +/– | |
Там просто сверяют эталонный список корневых сертификатов со списком, установленным у клиента. Это не поможет в ситуации как с jabber.ru (https://www.opennet.dev/59965 ), когда валидный сертификат был получен владельцем сервера в Let's Encrypt и MITM-атакующий тоже получил фиктивный сертификат через Let's Encrypt, на время переправив трафик к себе. Раньше помогал pinning сертификатов, но его убрали из браузеров и он был актуален для долгожвивущих сертификатов, а на тех, что на 3 месяца выдаются. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #1 Ответы: #3, #23 |
3. Сообщение от fyjybv (?), 21-Окт-23, 16:34 | +1 +/– | |
>привязка DNS к учётной записи letsencrypt | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #2 |
4. Сообщение от Аноним (4), 21-Окт-23, 22:17 | +4 +/– | |
И все равно все сводится к ЦА. Могут проверить, а могут и выпустить для особого случая непроверенный сертификат. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #11, #21 |
5. Сообщение от OpenEcho (?), 22-Окт-23, 13:54 | +/– | |
> example.com. IN CAA 0 issue "letsencrypt.org; accounturi=https://acme-v02.api.letsencrypt.org/acme/acct/1234567890" | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #26 |
6. Сообщение от OpenEcho (?), 22-Окт-23, 14:15 | +2 +/– | |
Ко всему тому, что написанно в статье + выполненно условие описанное выше мной, не плохо бы еще и перестраховаться и кронить переодически то что ниже | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #24 |
7. Сообщение от OpenEcho (?), 22-Окт-23, 14:28 | –1 +/– | |
Да, и до кучи, покрехтелки: Hetzner & Linode - плохие, а вот ЛетсШитКрипт - "хорошие"... они то уж точно работают исключительно за идею и не сидят на бабках мордакниги и добросовестно все сливают в СТ ;) | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #13 |
8. Сообщение от OpenEcho (?), 22-Окт-23, 14:35 | +/– | |
> и подключиться к сервисам мониторинга CT-логов (Certificate Transparency, отражают выданные удостоверяющими центрами сертификаты) | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #12 |
9. Сообщение от OpenEcho (?), 22-Окт-23, 15:08 | +1 +/– | |
Кстати, для копи-пастеров, бит 128 вместо 0 в САА записи - более полезен | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
11. Сообщение от Аноним (11), 24-Окт-23, 12:42 | +2 +/– | |
Это палево, выписать сертификат если у вас есть политика САА и атакующий не имеет валидного ключа. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #4 |
12. Сообщение от Аноним (11), 24-Окт-23, 12:53 | +/– | |
> Может кто-нибудь гарантировать, что то самый СТ, как бы случайно, (ну "ошибочки" | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #8 Ответы: #14 |
13. Сообщение от Аноним (11), 24-Окт-23, 12:55 | +1 +/– | |
> Да, и до кучи, покрехтелки: Hetzner & Linode - плохие, а вот | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #7 Ответы: #15 |
14. Сообщение от OpenEcho (?), 24-Окт-23, 13:20 | +/– | |
> при выписке сертификата в нём должно появиться не менее 2-х записей из | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #12 Ответы: #17 |
15. Сообщение от OpenEcho (?), 24-Окт-23, 13:24 | +/– | |
>> Да, и до кучи, покрехтелки: Hetzner & Linode - плохие, а вот | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #13 Ответы: #16 |
16. Сообщение от Аноним (11), 24-Окт-23, 16:42 | +1 +/– | |
Вот как раз в ОCSP они перестали почти все заглядывать уже давно. А в сам СТ им заглядывать нет нужны, всё что нужно, есть в сертификате, который сервер любезно сообщает сам. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #15 Ответы: #18 |
17. Сообщение от Аноним (11), 24-Окт-23, 16:58 | +/– | |
>> при выписке сертификата в нём должно появиться не менее 2-х записей из | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #14 Ответы: #19 |
18. Сообщение от OpenEcho (?), 24-Окт-23, 18:19 | +/– | |
> А в сам СТ им заглядывать нет нужны | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #16 Ответы: #29 |
19. Сообщение от OpenEcho (?), 25-Окт-23, 00:02 | +/– | |
> ну там, типа, блокчейн база.. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #17 |
20. Сообщение от VecH (ok), 25-Окт-23, 04:56 | +/– | |
В каком формате данные вколачивать на dns.he.net ? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #25 |
21. Сообщение от fi (ok), 25-Окт-23, 09:38 | +/– | |
> перестроено на сквозное шифрование | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #4 |
22. Сообщение от придурок (?), 25-Окт-23, 21:06 | +/– | |
браузер заверещит же чё тут защищаться то | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #35 |
23. Сообщение от Пряник (?), 26-Окт-23, 14:22 | +/– | |
HPKP ещё от компрометации центра сертов защищает. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #2 |
24. Сообщение от ivan_erohin (?), 29-Окт-23, 08:27 | +/– | |
> На этом сайте когда нибудь можно уже <code></code> или безобидный <xmp></xmp>? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #6 |
25. Сообщение от ivan_erohin (?), 29-Окт-23, 08:32 | +/– | |
> В каком формате данные вколачивать на dns.he.net ? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #20 |
26. Сообщение от Tron is Whistling (?), 29-Окт-23, 09:46 | +1 +/– | |
"На облаках" вы можете генерировать хоть у себя на коленке - "заглянувший" внутрь хоста вася всё равно получит приватный ключ вашего сертификата вместе с сертификатом, и даже выписывать поддельный серт не надо. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #5 |
27. Сообщение от Tron is Whistling (?), 29-Окт-23, 09:50 | +/– | |
Как вы понимаете, всё это - honor-based, и никаких гарантий, что некий CA (даже тот, что обычно CAA хонорит) не выпишет серт из-за сбоя с проверкой этого самого CAA - нет. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #28 |
28. Сообщение от Tron is Whistling (?), 29-Окт-23, 09:51 | +/– | |
Надёжнее использовать stapling, потому что там хотя бы тысячиглаз, то есть браузеров, большинство из которых таки проверяют для себя любимого лично. Но и это не панацея. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #27 |
29. Сообщение от Аноним (29), 07-Ноя-23, 20:50 | –1 +/– | |
> А здесь мы верим браузерам... | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #18 Ответы: #30, #31 |
30. Сообщение от OpenEcho (?), 08-Ноя-23, 13:47 | +/– | |
>> А здесь мы верим браузерам... | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #29 Ответы: #32 |
31. Сообщение от OpenEcho (?), 08-Ноя-23, 21:16 | +/– | |
Прям во время, специально для вас постарались: | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #29 |
32. Сообщение от Аноним (29), 08-Ноя-23, 21:41 | +/– | |
Никакая, даже самая лучшая и максимально пост-квантовая криптография не спасёт от уязвимого железа. Но ты почему-то решил не доверять именно браузеру, который почему-то уместен в разговоре «конкретно о сертификатах», а железо, на котором он исполняется почему-то нет. Уж что-что, а переобуваться в прыжке любой опеннетчик умеет на олимпийском уровне. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #30 Ответы: #33 |
33. Сообщение от OpenEcho (?), 09-Ноя-23, 00:00 | +/– | |
> Никакая, даже самая лучшая и максимально пост-квантовая криптография не спасёт от уязвимого железа. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #32 |
34. Сообщение от НоуНэйм (?), 12-Ноя-23, 15:32 | +/– | |
Защититься от этого - элементарно и просто. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #36 |
35. Сообщение от Аноним (35), 16-Ноя-23, 13:17 | +/– | |
Нет. Серт же действительный. Вы про кейс jabber.ru таки почитайте сначала. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #22 |
36. Сообщение от Аноним (35), 16-Ноя-23, 13:45 | +/– | |
Это да, но вот потом вам надо будет, чтобы юзеры проверяли, что этот сертификат самовыпустил именно ты, а не васян-хацкер или тащмайор. Вручную через какой-то условно доверенный канал. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #34 |
37. Сообщение от Аноним (-), 17-Ноя-23, 17:08 | +/– | |
Какой шикарный костыль. Потом окажется что DNS тоже можно подменять, понадобится еще DNSSEC какой-нибудь кривущий и что там еще. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |