Титла: База с fingerprints на ssl certs Публикувано от: geroy в Nov 06, 2012, 17:10 3rd party база с fingerprints на сертификати които се събират пасивно. Базата се публикува през dns.
http://notary.icsi.berkeley.edu/ Титла: Re: База с fingerprints на ssl certs Публикувано от: gat3way в Nov 06, 2012, 17:58 Похвално е усилието, но не виждам смисъла.
Титла: Re: База с fingerprints на ssl certs Публикувано от: dejuren в Nov 06, 2012, 18:24 Сайт+сертификат от една страна, кеш/fingerprint на сертификата от друга. Когато сайтът ти прати сертификат може да провериш дали евентуално не е наскоро променен в сравнение с кеша, т.е. не променен наистина, а заместен от фалшив сайт+фалшив сертификат, който се представя за истинския.
Титла: Re: База с fingerprints на ssl certs Публикувано от: geroy в Nov 06, 2012, 18:28 С един addon на mozilla-та може ти светва едно светофарче което си е допълнителна проверка от стандартната процедура за trust.
Титла: Re: База с fingerprints на ssl certs Публикувано от: gat3way в Nov 06, 2012, 19:36 Цитат Сайт+сертификат от една страна, кеш/fingerprint на сертификата от друга. Когато сайтът ти прати сертификат може да провериш дали евентуално не е наскоро променен в сравнение с кеша, т.е. не променен наистина, а заместен от фалшив сайт+фалшив сертификат, който се представя за истинския. Този, който може да те mitm-ва и да ти представи сертификат, който минава проверката срещу trusted CA ключовете в браузъра (например имаше такива случаи в мрежата на държавния телеком на Иран), със сигурност ще може и да ти пренасочи dns трафика към фалшив сървър, който ще ти сервира "верния" fingerprint. Титла: Re: База с fingerprints на ssl certs Публикувано от: n00b в Nov 06, 2012, 21:34 Този, който може да те mitm-ва и да ти представи сертификат, който минава проверката срещу trusted CA ключовете в браузъра (например имаше такива случаи в мрежата на държавния телеком на Иран), със сигурност ще може и да ти пренасочи dns трафика към фалшив сървър, който ще ти сервира "верния" fingerprint. То да беше само в Иран... [_]3 [_]3 [_]3 Титла: Re: База с fingerprints на ssl certs Публикувано от: gat3way в Nov 06, 2012, 21:45 Ммммдам :)
Титла: Re: База с fingerprints на ssl certs Публикувано от: dejuren в Nov 06, 2012, 22:37 Този, който може да те mitm-ва и да ти представи сертификат, който минава проверката срещу trusted CA ключовете в браузъра (например имаше такива случаи в мрежата на държавния телеком на Иран), със сигурност ще може и да ти пренасочи dns трафика към фалшив сървър, който ще ти сервира "верния" fingerprint.Той ще може, въпроса е дали ще се сети. Ако не се сети - имаш още един шанс. Титла: Re: База с fingerprints на ssl certs Публикувано от: gat3way в Nov 06, 2012, 23:16 А, това не е добра основа. Хората, които правят такива поразии обикновено имат повече ресурси. За тях със сигурност няма да е по-сложно да се сетят, отколкото за теб или когото и да било друг.
Титла: Re: База с fingerprints на ssl certs Публикувано от: MiCRo в Nov 07, 2012, 15:50 https://addons.mozilla.org/en-us/firefox/addon/certificate-patrol/
|