forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Раздел полезных советов: Защита от подмены TLS-сертификатов в результате MITM-атаки провайдером, auto_tips (??), 21-Окт-23, (0) [смотреть все]

Гдето в заголовке стоит добавить что речь о получении tls серта сервером Для кли, Аноним (1), 13:33 , 21-Окт-23, (1) //

Там просто сверяют эталонный список корневых сертификатов со списком, установлен, Аноним (2), 15:37 , 21-Окт-23, (2) //

может быть поможет, fyjybv (?), 16:34 , 21-Окт-23, (3) +1
HPKP ещё от компрометации центра сертов защищает , Пряник (?), 14:22 , 26-Окт-23, (23)

И все равно все сводится к ЦА Могут проверить, а могут и выпустить для особого , Аноним (4), 22:17 , 21-Окт-23, (4) +4 //

Это палево, выписать сертификат если у вас есть политика САА и атакующий не имее, Аноним (11), 12:42 , 24-Окт-23, (11) +2
вы попутали, это две разные задачи , fi (ok), 09:38 , 25-Окт-23, (21)

Вот оно бы все хорошо, но проблема то в том, что нынче модно все облаках где в, OpenEcho (?), 13:54 , 22-Окт-23, (5) //

На облаках вы можете генерировать хоть у себя на коленке - заглянувший внутр, Tron is Whistling (?), 09:46 , 29-Окт-23, (26) +1

Ко всему тому, что написанно в статье выполненно условие описанное выше мной, , OpenEcho (?), 14:15 , 22-Окт-23, (6) +2 //

1 и так все понятно 2 все равно переделывать например запрос на crt sh слать , ivan_erohin (?), 08:27 , 29-Окт-23, (24)

Да, и до кучи, покрехтелки Hetzner Linode - плохие, а вот ЛетсШитКрипт - хор, OpenEcho (?), 14:28 , 22-Окт-23, (7) –1 //

А им деваться некуда веб браузеры не возьмут сертификат без записи из СТ , Аноним (11), 12:55 , 24-Окт-23, (13) +1 //

А с каких это пор браузеры стали в СТ заглядывать Вы с OCSP не перепутали , OpenEcho (?), 13:24 , 24-Окт-23, (15) //

Вот как раз в ОCSP они перестали почти все заглядывать уже давно А в сам СТ им , Аноним (11), 16:42 , 24-Окт-23, (16) +1

Т е просто верить на слово СА тому что они подписали А здесь мы верим браузерам, OpenEcho (?), 18:19 , 24-Окт-23, (18)

А ещё ядру ОС, библиотекам, компиляторам, авторам ЯП, а то и вовсе центральным п, Аноним (29), 20:50 , 07-Ноя-23, (29) –1

Сильно сказал Только мы здесь говорили конкретно о сертификатах Все что ты п, OpenEcho (?), 13:47 , 08-Ноя-23, (30)

Никакая, даже самая лучшая и максимально пост-квантовая криптография не спасёт о, Аноним (29), 21:41 , 08-Ноя-23, (32)

Я не знаю, осталась или нет одна очень интересная лаборатория в России, в которы, OpenEcho (?), 00:00 , 09-Ноя-23, (33)

Прям во время, специально для вас постарались https www theregister com 2023 1, OpenEcho (?), 21:16 , 08-Ноя-23, (31)

Может кто-нибудь гарантировать, что то самый СТ, как бы случайно, ну ошибочки , OpenEcho (?), 14:35 , 22-Окт-23, (8) //

при выписке сертификата в нём должно появиться не менее 2-х записей из двух баз , Аноним (11), 12:53 , 24-Окт-23, (12) //

И оба, три СТ находятся под чей юрисдикцией Если вам ну очень убедительно ска, OpenEcho (?), 13:20 , 24-Окт-23, (14) //

ну там, типа, блокчейн база есть некоторые сложности, математического порядка,, Аноним (11), 16:58 , 24-Окт-23, (17)

Тот самый блокчэин, который можно модефицировать имея более 50 котроля А сами , OpenEcho (?), 00:02 , 25-Окт-23, (19)

Кстати, для копи-пастеров, бит 128 вместо 0 в САА записи - более полезенПравильн, OpenEcho (?), 15:08 , 22-Окт-23, (9) +1
В каком формате данные вколачивать на dns he net Что не вставлял, пишет что inv, VecH (ok), 04:56 , 25-Окт-23, (20) //

BIND 9 18 19-1 - все работает обратитесь в техподдержку электро хурриканов , ivan_erohin (?), 08:32 , 29-Окт-23, (25)

браузер заверещит же чё тут защищаться то, придурок (?), 21:06 , 25-Окт-23, (22) //

Нет Серт же действительный Вы про кейс jabber ru таки почитайте сначала , Аноним (35), 13:17 , 16-Ноя-23, (35)

Как вы понимаете, всё это - honor-based, и никаких гарантий, что некий CA даже , Tron is Whistling (?), 09:50 , 29-Окт-23, (27) //

Надёжнее использовать stapling, потому что там хотя бы тысячиглаз, то есть брауз, Tron is Whistling (?), 09:51 , 29-Окт-23, (28)

Защититься от этого - элементарно и просто самовыпущенный сертификат , НоуНэйм (?), 15:32 , 12-Ноя-23, (34) //

Это да, но вот потом вам надо будет, чтобы юзеры проверяли, что этот сертификат , Аноним (35), 13:45 , 16-Ноя-23, (36)

Какой шикарный костыль Потом окажется что DNS тоже можно подменять, понадобится, Аноним (-), 17:08 , 17-Ноя-23, (37)

Сообщения [Сортировка по времени | RSS]

5. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" +/–

Сообщение от OpenEcho (?), 22-Окт-23, 13:54

> example.com. IN CAA 0 issue "letsencrypt.org; accounturi=https://acme-v02.api.letsencrypt.org/acme/acct/1234567890"
Вот оно бы все хорошо, но проблема то в том, что нынче модно все "облаках" где в большинстве случаев то самый "/acme/acct/1234567890" находится вместе с приватным ключом от аккаунта на том же виртуальном хосте, ну для удобства, чтоб там по dehydrated, lego, certbot... все обновлялось автоматом по крону и если учесть что хост может видеть гостей в облаках, то что хостеру мешает "заглянуть" одним глазком на ключик от аккаунта? И вся секьюрность сыпится как карточный домик.
Вот это вот ^^^ ключевой момент, чтоб работало как написано, надо генерировать сертификаты не на серваках, а через DNS с отдельной, выделенной только для, админской тачки и деплоить уже потом выданные сертификаты на серваки

Ответить | Правка | Наверх | Cообщить модератору

26. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером" +1 +/–

Сообщение от Tron is Whistling (?), 29-Окт-23, 09:46

"На облаках" вы можете генерировать хоть у себя на коленке - "заглянувший" внутрь хоста вася всё равно получит приватный ключ вашего сертификата вместе с сертификатом, и даже выписывать поддельный серт не надо.
И ничего вообще от этого не спасёт. Кроме отказа от "облачка" собственной инфраструктуры. Там другие проблемы с безопасностью, но конкретно этой - нет. Ну или принять этот риск как возможное неизбежное зло и учитывать.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

5. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером"	+/–
Сообщение от OpenEcho (?), 22-Окт-23, 13:54
> example.com. IN CAA 0 issue "letsencrypt.org; accounturi=https://acme-v02.api.letsencrypt.org/acme/acct/1234567890" Вот оно бы все хорошо, но проблема то в том, что нынче модно все "облаках" где в большинстве случаев то самый "/acme/acct/1234567890" находится вместе с приватным ключом от аккаунта на том же виртуальном хосте, ну для удобства, чтоб там по dehydrated, lego, certbot... все обновлялось автоматом по крону и если учесть что хост может видеть гостей в облаках, то что хостеру мешает "заглянуть" одним глазком на ключик от аккаунта? И вся секьюрность сыпится как карточный домик. Вот это вот ^^^ ключевой момент, чтоб работало как написано, надо генерировать сертификаты не на серваках, а через DNS с отдельной, выделенной только для, админской тачки и деплоить уже потом выданные сертификаты на серваки
Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером"	+1 +/–
	Сообщение от Tron is Whistling (?), 29-Окт-23, 09:46
	"На облаках" вы можете генерировать хоть у себя на коленке - "заглянувший" внутрь хоста вася всё равно получит приватный ключ вашего сертификата вместе с сертификатом, и даже выписывать поддельный серт не надо. И ничего вообще от этого не спасёт. Кроме отказа от "облачка" собственной инфраструктуры. Там другие проблемы с безопасностью, но конкретно этой - нет. Ну или принять этот риск как возможное неизбежное зло и учитывать.
	Ответить \| Правка \| Наверх \| Cообщить модератору