it-swarm.com.de

Warum ist dieses Zertifikat für Imgur nur einen Tag gültig?

Ich bin über ein Café-WLAN verbunden und habe eine Warnung von meinem mobilen Browser erhalten. Wenn ich weiter nachschaue, scheint das Zertifikat nur für einen Tag gültig zu sein, was sehr verdächtig erscheint.

(browser warningcertificate details

Darauf steht Imgur, aber warum ist es dann markiert und warum ist es nur für einen Tag gültig?

Hier ist das gleiche Zertifikat, wenn Sie den Hotspot/die Daten eines Freundes verwenden:

(certificate details on data

Ich habe kein anderes betroffenes Zertifikat gefunden.

61
Pureferret

Dies ist kein Imgur-Zertifikat.

Zertifikatstransparenzprotokolle

Zertifizierungsstellen müssen alle von ihnen generierten Zertifikate in Transparenzprotokollen melden, bei denen es sich um öffentliche Datenbanken handelt. Auf diese Weise können Benutzeragenten wie Chrome überprüfen, ob dieses Zertifikat vom Eigentümer der Website geprüft werden kann.

Gemäß den folgenden Tools zur Suche nach Zertifikatstransparenz wurde dieses Zertifikat nicht protokolliert, und eine so kurze Lebensdauer ist für Imgur nicht üblich:

DNS-Filter

Gemäß den Fehlermeldungen wurde dieses Zertifikat nicht von einer gültigen Zertifizierungsstelle ausgestellt, sodass Sie dem Aussteller nicht vertrauen können.

Der Emittent behauptet, "DNSFilter" zu sein.

DNSFilter ist ein Proxy, der zum Filtern von Anforderungen verwendet wird, und er versucht auch, HTTPS-Anforderungen zu proxyieren, sodass für jede Domäne ein selbstsigniertes Zertifikat generiert wird.

Da Sie dem Aussteller nicht vertrauen können, können Sie nicht sicher sein, dass das Zertifikat vom echten DNSFilter-Produkt stammt. Jeder könnte es verkörpern.


Es ist davon auszugehen, dass dies kein legitimes Zertifikat für Imgur ist.

Der genaue Grund für eine so kurze Lebensdauer des Zertifikats ist nicht bekannt.

88
Benoit Esnard

Dies ist anscheinend ein MITM-Angriff. Jemand versucht, die Verbindung abzufangen.

Ob es sich um einen böswilligen Angreifer eines Drittanbieters handelt oder um das Café, das versucht, Inhalte zu filtern/Werbung einzufügen (relativ harmlos), ist nicht sicher zu sagen . Während das Zertifikat behauptet, von DNS Filter ausgestellt zu sein, ist es unmöglich zu sagen, ob es wirklich war. Jeder kann ein Zertifikat mit dem Namen "DNS-Filter" erstellen, und das Zertifikat ist von niemandem signiert, sodass Sie dem, was darin steht, nicht vertrauen können. Es wurde möglicherweise wirklich von DNS Filter erstellt, aber es kann sich auch um einen böswilligen Angreifer handeln, der versucht, mithilfe eines erkennbaren Namens Vertrauen zu gewinnen. Sie sollten NICHT davon ausgehen, dass es wirklich vom DNS-Filter erstellt wurde.

Auf jeden Fall ist das kein echtes Imgur-Zertifikat.

67
Peter Harmann

Ist dieses Zertifikat gültig?

Nein, es wird im laufenden Betrieb von DNSFilter oder einem Angreifer generiert, der vorgibt, DNSFilter zu sein, der einen MITM-Angriff ausführt.

Warum wird dieses Zertifikat vorgelegt?

Mit DNSFilter können Sie die Netzwerknutzung überwachen und Sites blockieren. Wenn Sie jedoch eine Site blockieren, möchten Sie eine Fehlermeldung anzeigen. Wenn der Datenverkehr verschlüsselt ist, muss er in der Lage sein, ihn zu entschlüsseln. Dies kann nur durch Folgendes geschehen:

  • Das Originalzertifikat haben
  • Ein neues Zertifikat erstellen

Warum gibt es eine Warnung?

Da Ihr Computer dem neuen Zertifikat nicht vertraut, erhalten Sie eine Warnung. Dies gilt in beiden Fällen, wenn eine Angreifer-Zertifizierungsstelle nicht vertrauenswürdig ist, ebenso wie die DNSFilter-Zertifizierungsstelle.

Warum ist das Zertifikat nur für einen Tag gültig?

Dies kann viele Gründe haben, aber ein wichtiger Grund ist, das Risiko zu verringern, das jedes einzelne Zertifikat darstellt, wenn es durchgesickert ist. Die Idee ist, dass, solange das Stammzertifikat sicher aufbewahrt wird, selbst wenn ein Standortzertifikat ausläuft, es nur von Geräten als vertrauenswürdig eingestuft wird, die der Zertifizierungsstelle vertrauen.

Da die Zertifikate im laufenden Betrieb erstellt werden, gibt es kein Problem mit der dafür erforderlichen regelmäßigen Neuausstellung.

Ist das Abfangen von SSL eine gute Idee?

Das Abfangen von SSL ist aus vielen Gründen im Allgemeinen eine sehr schlechte Idee:

  • Sensible Daten können vom Abfanggerät protokolliert werden
  • Die Schlüssel können für alle Geräte gleich sein, sodass jeder mit einer Kopie des Hauptschlüssels abfangen kann
  • Der Schlüssel kann vom Gerät bezogen werden, was dazu führt, dass jeder abfangen kann
  • EV-Zertifikate werden auf Standardzertifikate herabgestuft
  • Anwendungen, die Pinning verwenden, funktionieren nicht mit dem geänderten Zertifikat

Es gibt einige Fälle, in denen es akzeptabel ist, wenn absolut erforderlich ist, diese gelten jedoch nicht für öffentliches WLAN, in denen Sie dem Hotspot-Betreiber nicht wirklich vertrauen.

28
jrtapsell