LINUX.ORG.RU

opendns подменяет сертификат online.sberbank.ru?


0

3

Пользовался DNS серверами 208.67.220.220 и 208.67.222.222.

Сегодня, при попытке зайти на online.sberbank.ru обнаружил вместо сертификата сбербанка сертификат opendns.com.

Переключился на гугловские DNS.

Вопрос - это opendns.com давно делает (подменяет сертификаты) или недавно начал?


HTTPS Everywhere + SSL Observatory с параметром «check certificates using TOR» может частично помочь при использовании любого DNS.

Sense
()

А показать поддельный сертификат сможете? Вроде opendns.com не может вот так, безвозбранно подписать сертификат для *.sberbank.ru, надо сначала его вручную добавить. Хотя для простого http opendns уже попадался на подменах.

naszar
()
Ответ на: комментарий от naszar

насколько я знаю, он попадался только на редиректе на странички-заглушки с рекламой в случае резолва реально несуществующих A-записей.

Bers666 ★★★★★
()
Ответ на: комментарий от Bers666

Были и другие случаи.. с гуглом например.. беззлобно, но неприятно. Другой вопрос с HTTPS. Они не CA и не могут вот просто так взять и подписать сертификат для сбербанка. Может ТС ошибся? Надо было сохранить сертификат.

naszar
()

Вопрос - это opendns.com давно делает (подменяет сертификаты) или недавно начал?

Хоть один поддельный сертификат в студию.. а то на 4.2 смахивает.

naszar
()
Ответ на: комментарий от naszar

А я вот ему верю.
Или ты думаешь АНБшечка не дотянулась своей волосатой рукой до ОпенДНС ? --- Наивный.

К тому же у меня, например, https://temp-mail.ru/ в разных ОС выдаёт разный результат: в Виндовс показывает что там всё в порядке, а вот в Линухе... впрочем смотрите сами.

yakunprufovnebudet
()

зря волновался.

Сразу времени не было проверить. Теперь проверил - причина в том, что на станице сбербанка есть ссылки на несуществующий esc.sbrf.ru и вместо него браузер получал заглушку (с сертификатом) с opendns. И честно предупреждал что имя сервера в сертификате не соответствуею имени в адресной строке.

А кто считает что бред - поставьте сервера opendns и зайдите на страницу https://online.sberbank.ru/CSAFront/index.do, увидите предупреждение.

lorgru
() автор топика
Ответ на: комментарий от thespiritofbirdie

По одному из этих адресов.
dig -t a @208.67.220.220 esc.sbrf.ru
dig -t a @8.8.8.8 esc.sbrf.ru

lorgru
() автор топика
23 марта 2014 г.
Ответ на: зря волновался. от lorgru

Теперь проверил - причина в том, что на станице сбербанка есть ссылки на несуществующий esc.sbrf.ru и вместо него браузер получал заглушку (с сертификатом) с opendns.

А с какого хрена он обслуживает несуществующие домены?

ktulhu666 ☆☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.