forum.opennet.ru

"Раздел полезных советов: Защита от подмены TLS-сертификатов в результате MITM-атаки провайдером"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для сортировки сообщений в нити по дате нажмите "Сортировка по времени, UBB".

. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером"	+/–
Сообщение от OpenEcho (?), 24-Окт-23, 13:20
> при выписке сертификата в нём должно появиться не менее 2-х записей из > двух баз СТ. И оба, три СТ... находятся под чей юрисдикцией? Если вам ну очень убедительно скажут, - поставить фильтр отсекающий выдачу "нужным людям", вы ведь точно откажетесь, правда? > соотв. сначала серт регистрируется в СТ а потом > подписывается (для этого там есть такая штука как пресертификат, который и > регистрируется в СТ) и только потом отдаётся клиенту. Веб браузер сертификат > без инфы от СТ должен отвергнуть. > Кроме того многие регистраторы, включая ЛЕ, в СТ сливают и сам выписанный > сертификат (а не только пресертификат) если же сам сертификат туда не > попадает, его туда временами заливает ктото еще. В общем появление пресертификата > достаточно, чтобы было понятно, что сертификат выписан. С хэндшейком оно все технически понятно, но когда у кого-то есть права подкручивать, то... ну вы поняли...
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Раздел полезных советов: Защита от подмены TLS-сертификатов в результате MITM-атаки провайдером, auto_tips, 21-Окт-23, 13:33 [смотреть все]

Гдето в заголовке стоит добавить что речь о получении tls серта сервером Для кли, Аноним, 21-Окт-23, 13:33 (1) //
- Там просто сверяют эталонный список корневых сертификатов со списком, установлен, Аноним, 21-Окт-23, 15:37 (2) //
  - может быть поможет, fyjybv, 21-Окт-23, 16:34 (3)
  - HPKP ещё от компрометации центра сертов защищает , Пряник, 26-Окт-23, 14:22 (23)
И все равно все сводится к ЦА Могут проверить, а могут и выпустить для особого , Аноним, 21-Окт-23, 22:17 (4) //
- Это палево, выписать сертификат если у вас есть политика САА и атакующий не имее, Аноним, 24-Окт-23, 12:42 (11)
- вы попутали, это две разные задачи , fi, 25-Окт-23, 09:38 (21)
Вот оно бы все хорошо, но проблема то в том, что нынче модно все облаках где в, OpenEcho, 22-Окт-23, 13:54 (5) //
- На облаках вы можете генерировать хоть у себя на коленке - заглянувший внутр, Tron is Whistling, 29-Окт-23, 09:46 (26)
Ко всему тому, что написанно в статье выполненно условие описанное выше мной, , OpenEcho, 22-Окт-23, 14:15 (6) //
- 1 и так все понятно 2 все равно переделывать например запрос на crt sh слать , ivan_erohin, 29-Окт-23, 08:27 (24)
Да, и до кучи, покрехтелки Hetzner Linode - плохие, а вот ЛетсШитКрипт - хор, OpenEcho, 22-Окт-23, 14:28 (7) //
- А им деваться некуда веб браузеры не возьмут сертификат без записи из СТ , Аноним, 24-Окт-23, 12:55 (13) //
  - А с каких это пор браузеры стали в СТ заглядывать Вы с OCSP не перепутали , OpenEcho, 24-Окт-23, 13:24 (15) //
    - Вот как раз в ОCSP они перестали почти все заглядывать уже давно А в сам СТ им , Аноним, 24-Окт-23, 16:42 (16)
      - Т е просто верить на слово СА тому что они подписали А здесь мы верим браузерам, OpenEcho, 24-Окт-23, 18:19 (18)
        
        А ещё ядру ОС, библиотекам, компиляторам, авторам ЯП, а то и вовсе центральным п, Аноним, 07-Ноя-23, 20:50 (29)
        
        Сильно сказал Только мы здесь говорили конкретно о сертификатах Все что ты п, OpenEcho, 08-Ноя-23, 13:47 (30)
        
        Никакая, даже самая лучшая и максимально пост-квантовая криптография не спасёт о, Аноним, 08-Ноя-23, 21:41 (32)
        
        Я не знаю, осталась или нет одна очень интересная лаборатория в России, в которы, OpenEcho, 09-Ноя-23, 00:00 (33)
        
        Прям во время, специально для вас постарались https www theregister com 2023 1, OpenEcho, 08-Ноя-23, 21:16 (31)
Может кто-нибудь гарантировать, что то самый СТ, как бы случайно, ну ошибочки , OpenEcho, 22-Окт-23, 14:35 (8) //
- при выписке сертификата в нём должно появиться не менее 2-х записей из двух баз , Аноним, 24-Окт-23, 12:53 (12) //
  - И оба, три СТ находятся под чей юрисдикцией Если вам ну очень убедительно ска , OpenEcho, 24-Окт-23, 13:20 (14) //
    - ну там, типа, блокчейн база есть некоторые сложности, математического порядка,, Аноним, 24-Окт-23, 16:58 (17)
      - Тот самый блокчэин, который можно модефицировать имея более 50 котроля А сами , OpenEcho, 25-Окт-23, 00:02 (19)
Кстати, для копи-пастеров, бит 128 вместо 0 в САА записи - более полезенПравильн, OpenEcho, 22-Окт-23, 15:08 (9)
В каком формате данные вколачивать на dns he net Что не вставлял, пишет что inv, VecH, 25-Окт-23, 04:56 (20) //
- BIND 9 18 19-1 - все работает обратитесь в техподдержку электро хурриканов , ivan_erohin, 29-Окт-23, 08:32 (25)
браузер заверещит же чё тут защищаться то, придурок, 25-Окт-23, 21:06 (22) //
- Нет Серт же действительный Вы про кейс jabber ru таки почитайте сначала , Аноним, 16-Ноя-23, 13:17 (35)
Как вы понимаете, всё это - honor-based, и никаких гарантий, что некий CA даже , Tron is Whistling, 29-Окт-23, 09:50 (27) //
- Надёжнее использовать stapling, потому что там хотя бы тысячиглаз, то есть брауз, Tron is Whistling, 29-Окт-23, 09:51 (28)
Защититься от этого - элементарно и просто самовыпущенный сертификат , НоуНэйм, 12-Ноя-23, 15:32 (34) //
- Это да, но вот потом вам надо будет, чтобы юзеры проверяли, что этот сертификат , Аноним, 16-Ноя-23, 13:45 (36)
Какой шикарный костыль Потом окажется что DNS тоже можно подменять, понадобится, Аноним, 17-Ноя-23, 17:08 (37)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру