Allegro - taniej już było |
Klient widzi kłódkę certyfikatu pochodzącego od urzędu więc nic nie budzi jego spokoju przecież uczyli go że kłódka musi być , CA które wydało certyfikat nie zna prawdziwej tożsamości wnioskującego bo tego nie sprawdza innym sposobem niż tylko dostępnym z automatu w necie. Takie CA wybierają atakujący. Dalej już klasycznie domena podobna do oryginału, zatruty DNS po stronie klienta, lub wręcz sztywny wpis w localhost. i ruch może iść przez MITM i zrobić z nim można wszystko jak się odszyfruje a potem zaszyfruje certem orginalnego serwera. To raczej nie jest żaden nowy wektor ataku, z technicznego punktu widzenia, chodzi tylko o to, że łatwość uzyskania certyfikatu uznawanego za atrybut bezpieczeństwa dostępna jest też atakującym. Jeśli by dostać certyfikat trzeba zapłacić, okazać się dokumentami z KRS itp, to trudniej zrobić to na fałszywej tożsamości. Ggyby atakujący musiał do wygenerowania certyfikatu posługiwać się własną tożsamością pewnie miałby znacznie trudniej. Drugim 'winowajcą' są autorzy przeglądarek i systemów operacyjnych - kto decyduje i jakimi kryteriami się kieruje w uznawaniu CA za "domyślne zaufane". Wyczyść ten magazyn i zobacz po paru dniach surfowania ilu CA musisz zaufać (manualnie) za każdym razem zapoznaj się z polityką certyfikacji danego CA i oceń czy zaufasz tożsamościom zweryfikowanym na podstawie tych polityk. tu jeszcze opis dodatkowego zabezpieczenia po stronie serwera: https://kryptosfera.pl/post/http-public-key-pinning/ |