Archive for 28 sierpnia 2019

Certyfikat SSL sprawia, że…

Certyfikat SSL sprawia, że ruch pomiędzy naszą przeglądarką a serwerem jest szyfrowany – czyli nasz operator internetowy nie wie, co przesyłamy.
Ale co w przypadku, gdy ten certyfikat wygasł i nie jest ważny?
Czy możemy bezpiecznie zaakceptować wyjątek bezpieczeństwa? #od0dopentestera

Aby połączenie było szyfrowane każdy serwer musi posiadać swój unikalny klucz.
Ten klucz musi być jakoś powiązany z nazwą domeny.
Tylko, że każdy może wygenerować swój klucz i stwierdzić, że należy on do domeny x.
Dlatego też powstały główne urzędy certyfikacji – firmy, których dane są zapisane w przeglądarce i systemie operacyjnym.
Ich zadaniem jest stwierdzenie, czy dana osoba bądź podmiot posiada prawo do posługiwania się daną domeną.
Jeżeli tak – potwierdzają ten fakt swoim podpisem.
Czyli urzędy te to tacy internetowi notariusze.
Na tej podstawie przeglądarka wie, że dany klucz powiązany jest z konkretną domeną.

Podobnie jak dowód osobisty, certyfikat ma określony czas ważności.
Dlaczego? Ponieważ domena może zostać sprzedana lub też może wygasnąć.
Jeżeli właściciel witryny nie odnowi certyfikatu w odpowiednim czasie, przeglądarka wyświetli nam odpowiedni błąd.
Wtedy, wejście na taką stronę jest możliwe jedynie gdy zaakceptujemy wyjątek bezpieczeństwa.
Problem w tym, że podobny komunikat wyświetla się w kilku różnych sytuacjach.

Expired – certyfikat wygasły
Był on prawidłowy w przeszłości, ale najprawdopodobniej ktoś zapomniał go odnowić.
Wrong host – zła nazwa
Serwer zwrócił certyfikat, który należy do innej domeny.
Czyli wchodząc na domenę x otrzymaliśmy coś, co należy do y.
Self-signed oraz untrusted root
Dane w certyfikacie nie zostały potwierdzone przez zaufany urząd certyfikacji.
Revoked – unieważniony
Certyfikat został unieważniony. Jednym z powodów może być kradzież klucza prywatnego, używanego do szyfrowania.

Więcej informacji na blogu.
Materiału możesz również posłuchać w formie podcastu na Google i Apple Podcasts oraz Spotify i Anchor.
Subskrybuj kanał na YouTube
Masz pytanie na temat security? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany do podobnych wpisów na Mirko dodaj się do Mirkolisty.

#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes #security