2013-06-09

Certificados SSL

No post a seguir vou falar de 'hack' de SSL a nível de organizações "pequenas". As grandes (i.e. governo) podem pedir às companhias de certificados que lhes dêem certificados falsos válidos.

Toda a gente sabe que os certificados SSL são uma coisa importante quando se faz coisas mais seguras na Net. Certo?

Bem, vou copiar uma imagem e colar:

E puff... Faz-se o chocapic.

Pronto e não me apetece continuar o post que senão atraso-me.

Basicamente: SSL -> broken "easily".
EV-SSL -> como há mixed content, broken a little less easier.

We are all doomed!

De qualquer maneira EV-SSL é melhor que nada.

EOF

Referências:
SSL normal: http://www.zdnet.com/how-the-nsa-and-your-boss-can-intercept-and-break-ssl-7000016573/
EV-SSL 1: http://www.h-online.com/security/news/item/Hackers-target-Extended-Validation-certificates-742753.html
EV-SSL 2: http://www.trailofbits.com/resources/ev_ssl_mitm_slides.pdf

3 comments:

Sintra said...

Mas geralmente nao tens o "interception proxy" pelo meio neh? Quao facil eh inserir isso?

Carlos Ferreira said...

O Sintra faz uma boa pergunta. Como é que tu montas na prática, uma interception proxy?

Não é algo que seja mainstream.

ArabianShark said...

Se não é mainstream, só precisas de um hacker hipster. Identificam-se facilmente, porque têm os lábios queimados (they drank their coffee before it was cool).

Job done!