Автор Тема: База с fingerprints на ssl certs  (Прочетена 1869 пъти)

geroy

  • Участник
  • *****
  • Публикации: 198
  • Distribution: Windows, NetBSD, Devuan
    • Профил
    • WWW
База с fingerprints на ssl certs
« -: Nov 06, 2012, 17:10 »
3rd party база с fingerprints на сертификати които се събират пасивно. Базата се публикува през dns.
http://notary.icsi.berkeley.edu/
Активен

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: База с fingerprints на ssl certs
« Отговор #1 -: Nov 06, 2012, 17:58 »
Похвално е усилието, но не виждам смисъла.
Активен

"Knowledge is power" - France is Bacon

dejuren

  • Участник
  • *****
  • Публикации: 1025
  • Distribution: Ubuntu, RedHat
  • Window Manager: lxde KDE4
    • Профил
Re: База с fingerprints на ssl certs
« Отговор #2 -: Nov 06, 2012, 18:24 »
Сайт+сертификат от една страна, кеш/fingerprint на сертификата от друга. Когато сайтът ти прати сертификат може да провериш дали евентуално не е наскоро променен в сравнение с кеша, т.е. не променен наистина, а заместен от фалшив сайт+фалшив сертификат, който се представя за истинския.
Активен

http://webchat.freenode.net/?channels=ubuntu-bg
The quieter you become, the more you are able to hear.
Две седмици цъкане с мишката спестяват два часа четене на документацията.

geroy

  • Участник
  • *****
  • Публикации: 198
  • Distribution: Windows, NetBSD, Devuan
    • Профил
    • WWW
Re: База с fingerprints на ssl certs
« Отговор #3 -: Nov 06, 2012, 18:28 »
С един addon на mozilla-та може ти светва едно светофарче което си е допълнителна проверка от стандартната процедура за trust.
Активен

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: База с fingerprints на ssl certs
« Отговор #4 -: Nov 06, 2012, 19:36 »
Цитат
Сайт+сертификат от една страна, кеш/fingerprint на сертификата от друга. Когато сайтът ти прати сертификат може да провериш дали евентуално не е наскоро променен в сравнение с кеша, т.е. не променен наистина, а заместен от фалшив сайт+фалшив сертификат, който се представя за истинския.

Този, който може да те mitm-ва и да ти представи сертификат, който минава проверката срещу trusted CA ключовете в браузъра (например имаше такива случаи в мрежата на държавния телеком на Иран), със сигурност ще може и да ти пренасочи dns трафика към фалшив сървър, който ще ти сервира "верния" fingerprint.
Активен

"Knowledge is power" - France is Bacon

n00b

  • Участник
  • *****
  • Публикации: 1248
  • Distribution: OSX
  • Window Manager: 10.6, 10.8, 10.9
  • Live to hack, hack to live.
    • Профил
Re: База с fingerprints на ssl certs
« Отговор #5 -: Nov 06, 2012, 21:34 »
Този, който може да те mitm-ва и да ти представи сертификат, който минава проверката срещу trusted CA ключовете в браузъра (например имаше такива случаи в мрежата на държавния телеком на Иран), със сигурност ще може и да ти пренасочи dns трафика към фалшив сървър, който ще ти сервира "верния" fingerprint.

То да беше само в Иран...  [_]3 [_]3 [_]3
Активен

mobilio - професионални мобилни приложения

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: База с fingerprints на ssl certs
« Отговор #6 -: Nov 06, 2012, 21:45 »
Ммммдам :)
Активен

"Knowledge is power" - France is Bacon

dejuren

  • Участник
  • *****
  • Публикации: 1025
  • Distribution: Ubuntu, RedHat
  • Window Manager: lxde KDE4
    • Профил
Re: База с fingerprints на ssl certs
« Отговор #7 -: Nov 06, 2012, 22:37 »
Този, който може да те mitm-ва и да ти представи сертификат, който минава проверката срещу trusted CA ключовете в браузъра (например имаше такива случаи в мрежата на държавния телеком на Иран), със сигурност ще може и да ти пренасочи dns трафика към фалшив сървър, който ще ти сервира "верния" fingerprint.
Той ще може, въпроса е дали ще се сети. Ако не се сети - имаш още един шанс.
Активен

http://webchat.freenode.net/?channels=ubuntu-bg
The quieter you become, the more you are able to hear.
Две седмици цъкане с мишката спестяват два часа четене на документацията.

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: База с fingerprints на ssl certs
« Отговор #8 -: Nov 06, 2012, 23:16 »
А, това не е добра основа. Хората, които правят такива поразии обикновено имат повече ресурси. За тях със сигурност няма да е по-сложно да се сетят, отколкото за теб или когото и да било друг.
Активен

"Knowledge is power" - France is Bacon

MiCRo

  • Участник
  • *****
  • Публикации: 51
  • Distribution: Debian GNU/Linux Jessie
  • Window Manager: Mate
    • Профил
Активен