OpenForum RSS: Раздел полезных советов: Защита от подмены TLS-сертификатов в результате MITM-атаки провайдером https://www.opennet.ru/openforum/vsluhforumID3/131849.html Для предотвращения получения TLS-сертификатов третьими лицами, которые в ходе MITM-атаки могут контролировать трафик сервера, рекомендовано использовать DNS-запись CAA, через которую можно указать какой именно удостоверяющий центр и какая именно учётная запись в этом удостоверяющем центре авторизированы на выдачу сертификата для домена. <br><br>CAA [[https://letsencrypt.org/docs/caa/ поддерживается]] в Let's Encrypt и не позволяет запросить сертификат, используя другой ACME-ключ. Для включения привязки в DNS-зону следует добавить:<br><br>для привязки домена example.com к удостоверяющему центру letsencrypt.org:<br><br> example.com. IN CAA 0 issue "letsencrypt.org"<br><br>для дополнительно привязки к учётной записи acme-v02.api.letsencrypt.org/acme/acct/1234567890<br><br> example.com. IN CAA 0 issue "letsencrypt.org; accounturi=https://acme-v02.api.letsencrypt.org/acme/acct/1234567890"<br><br>DNS-сервер должен быть размещён на отдельной сервере, не подверженном MITM-атаке. Для дополнительной защиты от подмены DNS необходимо исполь Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/131849.html#37 Fri, 17 Nov 2023 14:08:38 GMT Какой шикарный костыль. Потом окажется что DNS тоже можно подменять, понадобится еще DNSSEC какой-нибудь кривущий и что там еще.<br><br>В общем этажерка https/tls начинает предсказуемо разваливаться прямо в воздухе.<br> Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/131849.html#36 Thu, 16 Nov 2023 10:45:22 GMT Это да, но вот потом вам надо будет, чтобы юзеры проверяли, что этот сертификат самовыпустил именно ты, а не васян-хацкер или тащмайор. Вручную через какой-то условно доверенный канал.<br> Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/131849.html#35 Thu, 16 Nov 2023 10:17:56 GMT Нет. Серт же действительный. Вы про кейс jabber.ru таки почитайте сначала.<br> Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером (НоуНэйм) https://www.opennet.ru/openforum/vsluhforumID3/131849.html#34 Sun, 12 Nov 2023 12:32:27 GMT Защититься от этого - элементарно и просто.<br>самовыпущенный сертификат. <br> Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером (OpenEcho) https://www.opennet.ru/openforum/vsluhforumID3/131849.html#33 Wed, 08 Nov 2023 21:00:26 GMT &gt; Никакая, даже самая лучшая и максимально пост-квантовая криптография не спасёт от уязвимого железа. <br><br>Я не знаю, осталась или нет одна очень интересная лаборатория в России, в который чудесно могли заглядывать под штаники буржуйких процессоров еще 30 лет назад, а потом вдруг появлялись ВМ80, но думаю что онa не только осталaсь, но и развилaсь (особенно после разгадки не подключенных никуда 5-и транзисторов на подложке :)<br><br>&gt; Но ты почему-то решил не доверять именно браузеру<br><br>Я верил очень давно, но теперь не верю и не буду верить в безплатный сыр в любом его представлении, надеюсь и вы это поймете со временем<br><br>&gt; Уж что-что, а переобуваться в прыжке любой опеннетчик умеет на олимпийском уровне.<br><br>Сорри, я глубины этой мысли - не понял<br> Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/131849.html#32 Wed, 08 Nov 2023 18:41:51 GMT Никакая, даже самая лучшая и максимально пост-квантовая криптография не спасёт от уязвимого железа. Но ты почему-то решил не доверять именно браузеру, который почему-то уместен в разговоре &#171;конкретно о сертификатах&#187;, а железо, на котором он исполняется почему-то нет. Уж что-что, а переобуваться в прыжке любой опеннетчик умеет на олимпийском уровне.<br> Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером (OpenEcho) https://www.opennet.ru/openforum/vsluhforumID3/131849.html#31 Wed, 08 Nov 2023 18:16:53 GMT Прям во время, специально для вас постарались:<br><br>https://www.theregister.com/2023/11/08/europe_eidas_browser/<br> Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером (OpenEcho) https://www.opennet.ru/openforum/vsluhforumID3/131849.html#30 Wed, 08 Nov 2023 10:47:20 GMT &gt;&gt; А здесь мы верим браузерам...<br>&gt; А ещё ядру ОС, библиотекам, компиляторам, авторам ЯП, а то и вовсе <br>&gt; центральным процессорам, модулям памяти и даже сетевым картам. Боюсь выход только <br>&gt; один: направить оптоволокно прямо в глаз и считывать сигналы напрямую. Уж <br>&gt; фотоны-то точно не подведут!<br><br>"Сильно" сказал...<br><br>Только мы здесь говорили конкретно о сертификатах.<br>Все что ты перечислили, - возможно перепроверить, а вот сертификаты это такая штука которая связанна с понятием криптография, которая для того и сделана чтобы что-то скрыть - НАДЕЖНО<br> Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/131849.html#29 Tue, 07 Nov 2023 17:50:56 GMT &gt; А здесь мы верим браузерам...<br><br>А ещё ядру ОС, библиотекам, компиляторам, авторам ЯП, а то и вовсе центральным процессорам, модулям памяти и даже сетевым картам. Боюсь выход только один: направить оптоволокно прямо в глаз и считывать сигналы напрямую. Уж фотоны-то точно не подведут!<br>