Перехват SSL сертификата
Просто столкнулся с тем, на в локальных сетях предприятий и офисов мало задумываются о безопасности сети и возможности перехвата трафика в рамках текущей (V)LAN. Как следствие возможность подмены данных в ARP таблице на клиентах, возможность прослушки между клиентом и сервером. Поэтому на удаленном веб сервере могут применять HTTPS протокол и шировать передаваемые данные. Но злоумышленник находиться между сервером и клиентов в момент первичного обмена SSL сертификатами, то он же может получить данный сертификат и шифровать/дефировать передаваемые данные. Получается тогда, что в этом случае HTTPS соединение безопасным не является. Или я что-то не понимаю?
Просто столкнулся с тем, на в локальных сетях предприятий и офисов мало задумываются о безопасности сети и возможности перехвата трафика в рамках текущей (V)LAN.
глупости. от MintM нету толку, если используется инфраструктура IPSec, к примеру. а в нормальный предприятиях так оно и есть, обычно.
Ну ясное дело, что при IPSec провести такую атаку проблематично. Только вот сеть, администратор который озаботаться IPSec-ом наверняка будет защищена и без IPSec хорошо. К примеру использованием нормальных коммутаторов и главное прямо настроеных. Так там и IPSec не нужен.
А я говорю именно о не защищенной сети и попытки администратора сайта защитить своих пользователей использованием SSL.
про вот это что ли?
Но злоумышленник находиться между сервером и клиентов в момент первичного обмена SSL сертификатами, то он же может получить данный сертифика
обмена не происходит. при HTTPS - сертификат отдает только сервер. при первичном обмене - сервер предоставляет ПОДПИСАННЫЙ сертификат. нехороший "посредник" подписать его не может. поэтому не может подсунуть клиенту свой собственный сертифкат, а поэтому - не может дешифровать то, что передает клиент
обмена не происходит. при HTTPS - сертификат отдает только сервер. при первичном обмене - сервер предоставляет ПОДПИСАННЫЙ сертификат. нехороший "посредник" подписать его не может.
А зачем ему подписывать его? Он же не пытается себя выдать за серверПри MitM злоумышленник подменой ARP кэша выдает себя на шлюз. Он же может просто это сертификат переслать клиенту, как того тому и хочется. И себе скопировать его и с его помощью дефишровать данные между клиентом и сервером.
Просто из того, что я сейчас читаю и уже прочел складывается такое впечатление.
кстати, если подумать хорошо - зачем для получения сертификата делать MitM? ;-) SSL сертификаты раздаются HTTPS сервером любому желающему. что, в общем-то, очевидно
