Задать вопрос
@alexdora
Топ-менеджер

Свои сертификаты SSL безопаснее, чем купленные?

Разбирался и бился с MITM (https://toster.ru/q/327584) и коротко пересказывая всю тему: В итоге ребята которые подделали "почти все" известные центры сертификации, вытащили данные за 10-15 минут завернув трафик в подключении VPN.
Про HTTPS безопасность сайтов, вообще смешно, т.к даже мне - тупому человеку который знает 3 команды linux в легкую удалось поставить MITMPROXY и вытащить почти все данные завернув трафик с устройства на порт. Конечно, стенка TLS оказалась для меня не пробиваемая, которая была зашита в приложение.
Вопрос в следующем, у меня есть проекты где важные данные и куплены сертификаты. После мозгового штурма с MITM - задумался о том, раз проекты не являются публичными то проще вбить сертификаты на каждое устройство с Корневым СЦ своем?
Это будет просто тупо безопаснее и бесплатно, т.к вряд ли свой СЦ кто-то найдет и попытается подделать. Я не страдаю панической атакой на тему: Нас все слушают, за мной следят. Просто сейчас заканчиваются сертификаты через месяц и нужно продление, а их порядка 35 штук. Вы сами можете посчитать сколько денег за это...и все с моего кармана пойдут. Изначально, когда покупались, - я и не знал о таких атаках и собственно думал, что безопаснее купить. Можно услышать коммент на эту тему, специалистов, ну или ссылки на почитать.
  • Вопрос задан
  • 1504 просмотра
Подписаться 6 Оценить 1 комментарий
Решения вопроса 1
CityCat4
@CityCat4 Куратор тега Информационная безопасность
//COPY01 EXEC PGM=IEBGENER
Сертификат - это не магическая кнопка, делающая все вокруг безопасным, а просто инструмент. Ну допустим нож. Вы можете сделать его сами, а можете купить у известной конторы. Но он не перестанет быть просто ножом и, если не уметь им пользоваться, толку от него не будет. Собственный УЦ - это бесплатно. И, как правило, все приходят к этому, когда число сертификатов растет, а число корреспондентов ограничено. Они просто ставят Ваш корневой сертификат - и вуаля.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 4
Jump
@Jump
Системный администратор со стажем.
Это будет просто тупо безопаснее и бесплатно

Это будет бесплатно - абсолютно верно.
Но это не будет безопаснее, это будет точно так же.
Поясню - сертификат какой бы он ни был вообще не влияет на безопасность.
Сертификат лишь подтверждает личность вашего собеседника.
Если кто-то использовал MITM, то это значит лишь одно - собеседники не проверили сертификаты.
Вот и все.
Т.е MITM работает только тогда, когда пользователи невнимательны.

Использовать свои сертификаты или покупные решать вам.
Выбрать очень просто - если все те, кто будет пользоваться каналом, вашим сертификатам доверяют - то конечно нет смысла платить.
Ответ написан
Sanes
@Sanes
Проведем эксперимент? Я буду вводить пароль, а вы его попробуете перехватить. У меня большие сомнения в вашем успехе.
Ответ написан
Комментировать
Frankenstine
@Frankenstine
Сисадмин
В итоге ребята которые подделали "почти все" известные центры сертификации

Чушь. Вы не прочитали что вы делали - вы сами на клиенте инсталлировали левый корневой сертификат со страницы mitm.it, позволивший MItM атаку. Без этого ничего бы не вышло.
мне - тупому человеку который знает 3 команды linux в легкую удалось поставить MITMPROXY

Ну-ка, установите MITMPROXY мне.
Ответ написан
Для полноты картины посмотрите еще в сторону KEY PINNING
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы