Certificados de segurança do Google Forjados

ghcou July 4, 2022 0 Comments

Recentemente, o Google descobriu que uma autoridade de certificação (CA) emitiu certificados forjados para o Google Domins. Isso compromete a dependência de fornecer segurança de camada (TLS), bem como HTTP (HTTPS) seguros, permitindo que o titular dos certificados forjados faça um ataque homem-in-the-intermediário.

Para validar o site que você está check-out é realmente quem eles se reivindicam ser, seu navegador garante que o certificado fornecido pelo servidor que você está acessando foi assinado por uma CA confiável. Quando alguém solicita um certificado de uma CA, eles devem confirmar a identidade da pessoa que faz a solicitação. Seu navegador, bem como sistema operacional, tem um conjunto de CAS Eventualmente confiável (chamado CAS). Se o certificado foi emitido por um deles, ou um CA intermediário que eles confiam, você dependerá da conexão. Toda essa estrutura de depender é chamada de cadeia de confiança.

Com um certificado forjado, você pode persuadir um cliente que seu servidor é realmente http://www.google.com. Você pode utilizar isso para se sentar entre a conexão de um cliente, bem como o servidor do Google real, escutando sua sessão.

Neste caso, um CA intermediário fez exatamente isso. Isso é assustador, uma vez que prejudica a segurança que todos nós dependem de todos os dias para todas as transações seguras na Internet. O certificado de fixação é uma ferramenta que pode ser utilizada para suportar esse tipo de ataque. Funciona associando uma espera com um certo certificado. Se mudar, a conexão não será confiável.

A natureza centralizada do TLS não funciona se você não puder depender das autoridades. Infelizmente, não podemos.

Leave a Reply

Your email address will not be published. Required fields are marked *