LINUX.ORG.RU

Защищает ли HTTPS от MITM?

 , ,


0

1

Ситуация: Человек заходит на сайт доменной зоны .ru, у которого сертификат «Let’s encrypt» или «Globalsign» (или другой сертификат от популярного зарубежного центра сертификации).

Защищает ли такой сертификат от MITM-атаки?

Домен конечно может быть RU а вот IP легко какой-нибудь US и значит вполне возможен MitM «для тех кому можно».

Вообще ты неправильно задаешь вопрос, ибо правильно заданный вопрос звучит как есть ли у тебя гарантия, что CA чьи сертификаты ты добавил как корневые не скомпрометированы.

no-dashi-v2 ★★★
()

Такой сертификат защищает от митм-атаки, а гарантом этой защиты выступает леценкрипт, глобалсайн или другой удостоверящий центр.

thesis ★★★★★
()

Защищает ровно в той степени, в которой ты доверяешь

«Let’s encrypt» или «Globalsign» (или другой сертификат от популярного зарубежного центра сертификации)

CrX ★★★★★
()

Защищает ли такой сертификат от MITM-атаки?

Частично. Система сертификатов устроена так, что человек с влиянием хотя бы на один из доверенных центов сертификации без проблем может осуществить mitm-атаку. Еще роль играет то, как он на него заходит. Можно и http вместо https подсунуть.

altwazar ★★★★
()

Нет. Даже при условии, что Let’s Encrypt играет по всем правилам. Даже если никакой удостоверяющий центр не прогибается под требования силовиков.

Нигде нет гарантии, что валидацию домена в Let’s Encrypt провел реальный владелец, а не сотрудник DNS-хостинга под нажимом силовиков.

Напоминаю: Let’s Encrypt выдает сертификат, если видит, что сгенерированный им токен оказался доступен или в виде файла, доступного для скачивания по HTTP с защищаемого домена (не наш случай), или в виде DNS TXT-записи в этом домене. Эту запись сотрудники DNS-хостера запросто могут нарисовать и таким образом получить от Let’s Encrypt на 146% валидный сертификат. В Let’s Encrypt даже не догадаются, что выдали сертификат не законному владельцу домена, а «кому надо». Затем этот сертификат ставится на подконтрольный «кому надо» сервер, подменяется A-запись, и HTTPS-запросы после расшифровки проксируются на реальный сервер. Итог - успешный MITM.

Для пользователя, защиты от этого никакой нет. Для владельца домена, формально есть запись CAA, и даже можно разрешить выпуск сертификатов только при условии, что запрос идет с конкретной учетной записи Let’s Encrypt, идентифицированной по приватному ключу регистрации. Но я не вижу, как это может работать без DNSSEC, если DNS-хостинг по факту скомпрометирован и может нарисовать любую CAA-запись вместо настоящей.

AEP ★★★★★
()
Последнее исправление: AEP (всего исправлений: 4)

ответ на этот вопрос будет состоять из двух частей

часть первая,пояснительная.

обратимся к аналогии. защищает ли замок? да, защищает. от кого? от тех, кто ломится в дверь, открытию которой препятствует этот замок. от всех, кто ломится в дверь? нет. от пьяного Васяна таки да, а от СОБРа - таки нет. значит, замок помогает защититься от всех, кто в комплекции и кондиции условного Васяна? да, но с тем условием, что условный Васян будет ломиться строго в дверь, игнорируя, к примеру, окна.

часть вторая, по существу заданного вопроса.

ответ - да, защищает. от Васянов. от Васянов - даже с некоторым запасом.

olelookoe ★★★
()
Последнее исправление: olelookoe (всего исправлений: 1)