HTTPS и его безопасность

mitm, мы все обречены, паранойя

0

1

Читая книгу Стивена Леви «Крипто» в моей голове созрел вопрос, на который я сам пока не могу ответить, надеюсь мне ответят местные параноики.

Представим простую ситуацию, мы вбиваем в браузере url https://gmail.com, забиваем логин/пароль, а наша параноя спит. Мы считаем, что при атаке man in the middle наш браузер честно нас предупредит о том, что сертификат не соответствует домену, срокам, удостоверяющим центрам и пр. И тут возникает вопрос, а что если этот самый «человекпосередине» завладеет сертом для домена gmail.com? И тут необязательно тырить их секретный ключ, ведь достаточно заказать серт на нужный домен у другого, не отличающегося ответственностью, CA.

Беглый поиск по интернету выдал следующую новость: http://www.sslshopper.com/article-ssl-certificate-for-mozilla.com-issued-with...

PS Пример для gmail.com утрированный и вряд ли кто выдаст на него серт без подтверждения, но на тот же LOR есть все шансы

Ссылка

←	ёмкость ssd указывают в гигабайтах или гибибайтах?

Анализ марсианского камня показал условия, потенциально пригодные к жизни в прошлом на планете

→

PS Пример для gmail.com утрированный и вряд ли кто выдаст на него серт без подтверждения, но на тот же LOR есть все шансы

а что, на лор можно ходить через https?

~~dikiy~~ ★★☆☆☆
(13.03.13 04:18:18 MSK)

Ответ на: комментарий от dikiy 13.03.13 04:18:18 MSK

внезапно

~~FiXer~~ ★★☆☆☆
(13.03.13 04:25:07 MSK)

Ссылка

и да - HTTPS Everywhere

~~FiXer~~ ★★☆☆☆
(13.03.13 04:25:23 MSK)

Ссылка

у гугла давно свой ca.

tazhate ★★★★★
(13.03.13 04:34:50 MSK)

Ссылка

Ответ на: комментарий от dikiy 13.03.13 04:18:18 MSK

:-)

https

record ★★★★★
(13.03.13 04:36:21 MSK)

Ссылка

Копни глубже, есть более изощренный метод атаки на https, без покупки сертификата на тот же домен.

X10Dead ★★★★★
(13.03.13 05:20:14 MSK)

Ссылка

Ну да, если получить паспорт на чужое имя, то можно оформить на этого человека кредит.

strangeman ★★★★
(13.03.13 05:52:06 MSK)

Ссылка

уже было, арабов каких-то на целый месяц завернули на мим.

spunky ★★
(13.03.13 06:50:22 MSK)

Ссылка

а разве там процедуры проверки нет? когда покупаешь сертификат, разве CA не ходит на обсуждаемый домен и не проверяет тот ли сертификат там лежит что он выдал?

я думаю что не взломав ЛОР или DNS CA нельзя этого сделать.

AndreyKl ★★★★★
(13.03.13 07:06:39 MSK)
Последнее исправление: AndreyKl 13.03.13 07:06:54 MSK (всего исправлений: 1)

Ссылка

Атака была успешно проведена, когда взломали DigiNotar. Как раз ради gmail. http://en.wikipedia.org/wiki/Diginotar#section_2

~~gh0stwizard~~ ★★★★★
(13.03.13 07:38:38 MSK)
Последнее исправление: gh0stwizard 13.03.13 07:39:18 MSK (всего исправлений: 1)

Ссылка

ведь достаточно заказать серт на нужный домен у другого, не отличающегося ответственностью, CA

Я тебе даже больше скажу: кому сильно нужно, давным давно имеют сертификаты уровня CA, подписанные кем-либо из широко распространенного списка доверенных УЦ.

Недавние шумихи про выявление поддельных сертификатов, валидных по всей цепочке - лишь вершина айсберга.

GateKeeper ★★
(13.03.13 10:17:08 MSK)

Ответ на: комментарий от GateKeeper 13.03.13 10:17:08 MSK

Я больше скажу - абсолютной безопасности не существует. Можно защититься лишь от рисков определённого уровня, оценив риски более высокого уровня как крайне маловероятные.

Xellos ★★★★★
(13.03.13 10:37:59 MSK)