Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Раздел полезных советов: Защита от подмены TLS-сертификатов в результате MITM-атаки провайдером, auto_tips (??), 21-Окт-23, (0) [смотреть все] Гдето в заголовке стоит добавить что речь о получении tls серта сервером Для кли, Аноним (1), 13:33 , 21-Окт-23, (1) // Там просто сверяют эталонный список корневых сертификатов со списком, установлен, Аноним (2), 15:37 , 21-Окт-23, (2) // может быть поможет, fyjybv (?), 16:34 , 21-Окт-23, (3) +1 HPKP ещё от компрометации центра сертов защищает , Пряник (?), 14:22 , 26-Окт-23, (23) И все равно все сводится к ЦА Могут проверить, а могут и выпустить для особого , Аноним (4), 22:17 , 21-Окт-23, (4) +4 // Это палево, выписать сертификат если у вас есть политика САА и атакующий не имее, Аноним (11), 12:42 , 24-Окт-23, (11) +2 вы попутали, это две разные задачи , fi (ok), 09:38 , 25-Окт-23, (21) Вот оно бы все хорошо, но проблема то в том, что нынче модно все облаках где в, OpenEcho (?), 13:54 , 22-Окт-23, (5) // На облаках вы можете генерировать хоть у себя на коленке - заглянувший внутр, Tron is Whistling (?), 09:46 , 29-Окт-23, (26) +1 Ко всему тому, что написанно в статье выполненно условие описанное выше мной, , OpenEcho (?), 14:15 , 22-Окт-23, (6) +2   // 1 и так все понятно 2 все равно переделывать например запрос на crt sh слать , ivan_erohin (?), 08:27 , 29-Окт-23, (24)   Да, и до кучи, покрехтелки Hetzner Linode - плохие, а вот ЛетсШитКрипт - хор, OpenEcho (?), 14:28 , 22-Окт-23, (7) –1 // А им деваться некуда веб браузеры не возьмут сертификат без записи из СТ , Аноним (11), 12:55 , 24-Окт-23, (13) +1 // А с каких это пор браузеры стали в СТ заглядывать Вы с OCSP не перепутали , OpenEcho (?), 13:24 , 24-Окт-23, (15) // Вот как раз в ОCSP они перестали почти все заглядывать уже давно А в сам СТ им , Аноним (11), 16:42 , 24-Окт-23, (16) +1 Т е просто верить на слово СА тому что они подписали А здесь мы верим браузерам, OpenEcho (?), 18:19 , 24-Окт-23, (18) А ещё ядру ОС, библиотекам, компиляторам, авторам ЯП, а то и вовсе центральным п, Аноним (29), 20:50 , 07-Ноя-23, (29) –1 Сильно сказал Только мы здесь говорили конкретно о сертификатах Все что ты п, OpenEcho (?), 13:47 , 08-Ноя-23, (30) Никакая, даже самая лучшая и максимально пост-квантовая криптография не спасёт о, Аноним (29), 21:41 , 08-Ноя-23, (32) Я не знаю, осталась или нет одна очень интересная лаборатория в России, в которы, OpenEcho (?), 00:00 , 09-Ноя-23, (33) Прям во время, специально для вас постарались https www theregister com 2023 1, OpenEcho (?), 21:16 , 08-Ноя-23, (31) Может кто-нибудь гарантировать, что то самый СТ, как бы случайно, ну ошибочки , OpenEcho (?), 14:35 , 22-Окт-23, (8) // при выписке сертификата в нём должно появиться не менее 2-х записей из двух баз , Аноним (11), 12:53 , 24-Окт-23, (12) // И оба, три СТ находятся под чей юрисдикцией Если вам ну очень убедительно ска, OpenEcho (?), 13:20 , 24-Окт-23, (14) // ну там, типа, блокчейн база есть некоторые сложности, математического порядка,, Аноним (11), 16:58 , 24-Окт-23, (17) Тот самый блокчэин, который можно модефицировать имея более 50 котроля А сами , OpenEcho (?), 00:02 , 25-Окт-23, (19) Кстати, для копи-пастеров, бит 128 вместо 0 в САА записи - более полезенПравильн, OpenEcho (?), 15:08 , 22-Окт-23, (9) +1 В каком формате данные вколачивать на dns he net Что не вставлял, пишет что inv, VecH (ok), 04:56 , 25-Окт-23, (20) // BIND 9 18 19-1 - все работает обратитесь в техподдержку электро хурриканов , ivan_erohin (?), 08:32 , 29-Окт-23, (25) браузер заверещит же чё тут защищаться то, придурок (?), 21:06 , 25-Окт-23, (22) // Нет Серт же действительный Вы про кейс jabber ru таки почитайте сначала , Аноним (35), 13:17 , 16-Ноя-23, (35) Как вы понимаете, всё это - honor-based, и никаких гарантий, что некий CA даже , Tron is Whistling (?), 09:50 , 29-Окт-23, (27) // Надёжнее использовать stapling, потому что там хотя бы тысячиглаз, то есть брауз, Tron is Whistling (?), 09:51 , 29-Окт-23, (28) Защититься от этого - элементарно и просто самовыпущенный сертификат , НоуНэйм (?), 15:32 , 12-Ноя-23, (34) // Это да, но вот потом вам надо будет, чтобы юзеры проверяли, что этот сертификат , Аноним (35), 13:45 , 16-Ноя-23, (36) Какой шикарный костыль Потом окажется что DNS тоже можно подменять, понадобится, Аноним (-), 17:08 , 17-Ноя-23, (37) 1,4,5,6,7,8,9,20,22,27,34,37

Сообщения

[Сортировка по времени | RSS]

6. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером"	+2 +/–
Сообщение от OpenEcho (?), 22-Окт-23, 14:15
Ко всему тому, что написанно в статье + выполненно условие описанное выше мной, не плохо бы еще и перестраховаться и кронить переодически то что ниже ``` <pre>     #!/bin/sh     domain='супер.дуппер.tld'     last_issued_date='2023-11-09T02:21:15'  # хозяином     rc=$(       curl "https://crt.sh/?q=${domain}&output=json" 2>/dev/null |       jq --arg d ${last_issued_date} 'map(select(.entry_timestamp | . > $d + "z"))'     )     if [ "${rc}" != '[]' ]; then       echo 'КАРАУЛ !!!'     fi </pre> ``` P.S. На этом сайте когда нибудь можно уже <code></code>  или безобидный <xmp></xmp>?
Ответить | Правка | Наверх | Cообщить модератору

	24. "Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером"	+/–
	Сообщение от ivan_erohin (?), 29-Окт-23, 08:27
	> На этом сайте когда нибудь можно уже <code></code> или безобидный <xmp></xmp>? 1) и так все понятно. 2) все равно переделывать. например запрос на crt.sh слать (и ответ получать) по двум разным каналам. т-щ майор идущее через открытый интернет РФ подделает, а херр гауптман из BND - нет. или наоборот.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема