آیا سیستم های تأیید هویت گواهینامه می تواند در حمله MITM بر روی WiFi کنار گذاشته شود؟ من فقط به یک سرویس به نام REMME نگاه کردم و فکر میکردم که چقدر امن است.
برخی از نظر کارشناسان را در این مورد مورد نیاز است.
TLS – چگونه می توانم یک مرورگر را برای رد کردن گواهی پروکسی MITM برای وب سایت من آموزش دهم
آیا راهی برای گفتن یک مرورگر، مانند Chrome وجود دارد، برای رد کردن یک
جایگزین گواهی MITM مانند آنهایی که توسط پروکسی شرکت استفاده می شود
سرورها
به طور کلی، شماره
پاسخ آن به ترتیب با ترکیبی از مرورگر و سیستم عامل متفاوت است – چه چیزی برای فروشگاه اعتبار مورد استفاده قرار می گیرد و اینکه آیا شما حق دارید که آن را تنظیم کنید. اما مرورگرها به حساب اعتماد خود برای کنترل اینکه کدام CA اعتماد دارند، به راه اندازند و راه های قابل تنظیم را برای لغو این فروشگاه اعتماد ارائه ندهند. شما ممکن است بتوانید با فروشگاه trust آشنا شوید، اما مرورگر برای رفع لایه های جداگانه ای از کنترل استفاده نمی کند.
اجازه دهید کروم را در ویندوز به عنوان مثال انتخاب کنیم. در ویندوز، کروم از مدیر گواهینامه ویندوز برای تعیین آنچه که CA CA های معتبر استفاده می کند استفاده می کند. اگر سرپرست سیستم شما پروکسی شرکتی را در آنجا قرار داده و مجوزهای محلی خود را برای حذف آن نداشته باشید، نمیتوانید بگویید Chrome به آن اعتماد ندارد
(اگر دارای امتیازات اداری هستید و آن را حذف کنید احتمالا خط مشی شرکت شما را نقض خواهد کرد به طوری که ممکن است منجر به ختم شود؛ علاوه بر این احتمالا مجددا به طور خودکار در 15 دقیقه یا بیشتر دوباره اعمال خواهد شد.)
فایرفاکس به صورت پیش فرض به استفاده از اعتبار فروشگاه مبتنی بر نمایه محلی به شما توانایی بیشتری برای اصلاح آن را می دهد (اما دوباره این کار ممکن است یک جریمه شلیک باشد، زیرا شما فعالانه کنترل شرکت ها را از بین می برید). در واقع یک پرچم برای ایجاد فایرفاکس در CA از مدیر گواهینامه در ویندوز وجود دارد که در این راستا به منظور ساده تر کردن زندگی آن مدیرانی که سیاست شرکت شما را بر عهده دارند، ساده تر می شود. من نیز روش های پیچیده ای را دیده ام (به عنوان مثال، بازنویسی فروشگاه اعتماد فایرفاکس به صورت برنامه ریزی شده)، استفاده می شود تا آن را مانند یک ابزار سازمانی اداره کند.
من می ترسم اگر شاید کروم راهی برای شکست که
نه و چون گواهینامه ها عمیق در حال پردازش هستند، حتی یک API وجود ندارد که بتواند اجازه دهد فرمت ها با آن آشفته شوند. (که به نوعی عمدی است – دلایلی است که فروشگاههای اعتباری در معرض آسیب زدن قرار می گیرند)
یا حداقل آن را زمانی که این اتفاق می افتد بیشتر می کند.
شما می توانید از چیزی مانند گسترش اطلاعات گواهی به راحتی استفاده کنید هنگام ورود به یک سایت جدید یا حساس، بررسی دستی را انجام دهید. این به سرعت به شما می گوید که اگر شما برای این اتصال به MITM مشغول هستید و شما را قادر می سازد تا انتخاب کنید که آیا باید ادامه دهید یا نه.
(فقط با کلیک بیشتر می توانید همین کار را با مرورگر معمولی انجام دهید).
با نگاه کردن به کد آن extension، احتمالا شما می توانید آن را برای ارائه یک پرچم مخصوص رنگی (BLACK!) بفرستید وقتی یک CA خاص که نگران آن هستید استفاده می شود. ساختن این تغییر به عنوان یک تمرین برای خواننده باقی مانده است:
من نمی توانم به اندازه کافی تأکید کنم که توانایی فنی برای دور زدن کنترل ها نباید با حق رفع کنترل ها اشتباه گرفته شود و ممکن است که آنها با آنها سر و کار داشته باشند. به عنوان مثال، هر دو معمولا "منطقی استفاده شخصی محدود" را در نظر می گیرند – پس از ورود به تامین کننده مراقبت های بهداشتی یا بانک خود از استثنائات لازم است که به دلایلی معتبر صورت گیرد – سپس با استناد به IT و HR درباره ایجاد استثنا برای این سایت ها صحبت کنید. اکثر پروکسی های MITM می توانند پیکربندی شوند تا سایت های فردی بتوانند از طریق un-intercepted عبور کنند.
و اگر آنها استثنائی را انجام ندهند، از کار آنها را مرور نکنند یا مکان کاری پیدا کنند که از حق خود استفاده نکنند برای نظارت.
TLS – چرا سرور ایمیل Hotmail ارائه یک گواهی نامعتبر است؟
به نظر می رسد hotmail.com سرور ایمیل نشسته در hotmail-com.olc.protection.outlook.com با استفاده از گواهی TLS صادر شده به mail.protection است. outlook.com .
هر دو نام سرور میزبان نام و نام مشترک TLS گواهی مشترک متعلق به یک زیر دامنه است: protection.outlook.com
من در حال تلاش برای درک آنچه اتفاق می افتد. آیا انتظار می رود این نوع ناسازگاری نام را نادیده بگیرم؟
این گزارش به نظر می رسد اشاره دارد که چیزی اشتباه است:
TLS – آیا قابل قبول است که ناسازگاری نام گواهی برای همان دامنه را نادیده بگیریم؟
به نظر می رسد hotmail.com سرور ایمیل نشسته در hotmail-com.olc.protection.outlook.com با استفاده از گواهی TLS صادر شده به mail.protection است. outlook.com .
هر دو نام سرور میزبان نام و نام مشترک TLS گواهی مشترک متعلق به یک زیر دامنه است: protection.outlook.com
من در حال تلاش برای درک آنچه اتفاق می افتد. آیا انتظار می رود این نوع ناسازگاری نام را نادیده بگیرم؟
این گزارش به نظر می رسد اشاره دارد که چیزی اشتباه است:
openssl – نام جایگزین موضوع در درخواست امضای گواهی ظاهرا امضای امضا را نداشته است
بنابراین من توانستم یک درخواست امضای گواهی ایجاد کنم با نام موضوع زیر نام فرم subjectAltName = IP: 1.2.3.4 با دنبال کردن دستور در پاسخ قبلی (پر زرق و برق)
هنگامی که بررسی می کنم CSR با openssl req -in key.csr -text من می توانم یک بخش مربوطه را ببینم:
Extensions Required:
X509v3 عنوان نام جایگزین:
آدرس IP: 1.2.3.4
من سپس به امضای CSR با کلید خود امضای خود امیدوارم مانند:
openssl x509 -req -days 365 -CA ca.crt -CAkey ca.key -CAcreateserial
-in key.csr -out key.crt
گواهی حاصل (هنگام بازرسی با openssl x509 -in key.crt -text ) این بخش را هرگز شناسایی نمی کند.
آیا این فقط یک مصنوعی از پارامترهای صفحه نمایش است یا نیاز دارم که من نیز openssl x509 را آموزش دهم که در هنگام انجام امضای آن باید پسوند را شامل شود (و اگر چنین است، چگونه)؟
من از OpenSSL در MacOS High Sierra استفاده میکنم (19459003) openssl version reports LibreSSL 2.2.7 ) و تنظیمات آن را از پیش فرض تغییر نداده است. کلیدها در نهایت بین سرورهای دبیان (کشش) استفاده خواهند شد، بنابراین اگر بتوانم در این زمینه کمک کنم، می توانم نسل کلیدی را در آنجا اجرا کنم.
