Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
А вот тут облом :). Root CA не выдаст два сертификата на... 12.04.06 16:37 Число просмотров: 3065
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
> Господа, верно ли я себе представляю возможный сценарий > атаки на SSL-защищённый веб-сервис для некоторого > пользователя (это может быть фишинг-атака или нечто > подобное)? > > 1. Противник взламывает DNS-сервер интернет-провайдера > целевого пользователя или иной DNS, близко расположенный к > пользователю и кэширующий его запросы. > 2. Для данного доменного имени он заменяет IP-адрес > легитимного сервера IP-адресом подконтрольного ему сервера. > 3. Поскольку легитимный сервер использует SSL-сертификат > известного удостоверяющего центра, оппонент заказывает у > другого УЦ (чей корневой сертификат имеется в хранилище > браузера пользователя) сертификат для того же доменного > имени (допустим, этими УЦ являются VeriSign и Thawte).
А вот тут облом :). Root CA не выдаст два сертификата на одно имя разным людям.
> 4. Оппонент устанавливает "поддельный" сертификат на свой > сервер. > 5. При обращении к легитимному серверу пользователь будет > перенаправлен (благодаря подмене в DNS-таблице) на > подставной сервер, подконтрольный противнику. Поскольку > сертификат этого сервера также заверен ключом доверенного > УЦ, пользователь не заметит атаки и будет считать, что > соединение надёжно. > > Единственная проблема, которую я вижу (не считая взлома DNS > ;)), это если УЦ поддерживает базу своих пользователей и > принадлежащих им доменов и для логина в систему и отправки > CSR требует логин/пароль, то такой сценарий усложняется.
именно так и есть. только там нету по-моему никакого логина/пароля.
> Чего ещё на ваш взгляд в супе не хватает?
|
- Спуфинг SSL-защищённых серверов - sattva 12.04.06 13:40 [2914]
- А вот тут облом :). Root CA не выдаст два сертификата на... - NKritsky 12.04.06 16:37 [3065]
|
|
|