Komponenten

Befolgen Browserzertifikatwarnungen aufgrund von DNS-Fehler

Anonim

Vor ein paar Tagen habe ich über einen grundlegenden Fehler im Domain Name Service (DNS) -Protokoll geschrieben, der das Nachschlagen von lesbaren Namen in maschinenverarbeitete IP-Adressen (Internet Protocol) behandelt Ich rate allen Lesern, ihre Verletzlichkeit zu ermitteln und Maßnahmen zu ergreifen.

Es gibt noch eine weitere Warnung, die ich weitergeben sollte. Da dieser Fehler einem Angreifer das DNS für alle Personen vergiften kann, deren System eine Verbindung zu einem ungepatchten DNS-Server herstellt, kann ein Angreifer auch einen in verschlüsselte Websitzungen integrierten Schutz umgehen.

Die Webverschlüsselung verwendet SSL / TLS (Secure Sockets Layer / Transport Layer) Sicherheit), ein Standard, der drei Methoden verwendet, um sicherzustellen, dass Ihr Browser nur mit dem richtigen Teilnehmer am anderen Ende für eine gesicherte Verbindung verbindet.

[Weiterführende Literatur: Beste NAS-Boxen für Media-Streaming und Backup]

Zuerst Jeder Webserver, der SSL / TLS verwendet, muss über ein Zertifikat pro Server oder Gruppenzertifikat verfügen. Dieses Zertifikat identifiziert den Server.

Zweitens bindet das Zertifikat den Domänennamen des Servers. Sie können ein Zertifikat für www.infoworld.com erhalten und es mit www.pcworld.com verwenden.

Drittens wird die Identität der Partei, die das Zertifikat für einen bestimmten Domänennamen anfordert, von einer Zertifizierungsstelle bestätigt. Eine Firma, die eine solche Autorität betreibt, validiert die Identität der Person und Firma, die ein Zertifikat anfordert, und erstellt dann ein Zertifikat mit ihrem kryptographisch gebundenen Segen. (Höhere Validierungsebenen sind jetzt verfügbar. Aus diesem Grund sehen Sie im Ablagebereich der neuesten Versionen von Internet Explorer und Firefox einen großen grünen Bereich, der darauf hinweist, dass die erweiterte Validierung durchgeführt wurde.)

Diese Zertifizierungsstellen selbst haben a eine Reihe von Zertifikaten, die ihre Identität nachweisen und die in Browsern und Betriebssystemen vorinstalliert sind. Wenn Sie eine Verbindung zu einem Webserver herstellen, ruft Ihr Browser das öffentliche Zertifikat vor dem Start einer Sitzung ab, bestätigt, dass die IP-Adresse und der Domänenname übereinstimmen, validiert die Integrität des Zertifikats und überprüft dann die Signatur der Behörde auf Gültigkeit.

If Jeder Test schlägt fehl, Sie werden von Ihrem Browser gewarnt. Mit dem DNS-Fehler könnte ein Angreifer Ihre Banking- oder E-Commerce-Sitzung auf ihre imitierte Versionen von sicheren Websites von verschiedenen Firmen umleiten, und Ihr Browser würde die IP-Adressdifferenz nicht bemerken, weil der Domainname im gefälschten Zertifikat der IP entsprechen würde Adresse, die der Angreifer gepflanzt hat.

Ihr Browser würde jedoch bemerken, dass keine vertrauenswürdige Zertifizierungsstellen-Signatur angehängt ist. (Bisher gibt es keine Berichte über ein erfolgreiches Social Engineering dieser Behörden, die mit dem DNS-Fehler verbunden sind.) Ihr Browser würde Ihnen mitteilen, dass das Zertifikat selbstsigniert ist, dh der Angreifer hat eine Verknüpfung verwendet und die Signatur einer Autorität weggelassen verwendete eine nicht vertrauenswürdige Autorität, die der Angreifer selbst erstellt hat. (Es ist trivial, mit Open-Source-Tools eine Autorität zu schaffen, und dies ist hilfreich für Unternehmen und Organisationen. Ich habe es selbst gemacht. Aber diese unabhängigen Behörden werden nicht von Browsern validiert, es sei denn, Sie installieren separat ein Zertifikat von Hand.)

Meine Warnung hier ist, dass wenn Sie irgendeine Art von Zertifikat oder SSL / TLS-Warnung von Ihrem Browser erhalten, die Verbindung beenden, Ihren ISP oder Ihre IT-Abteilung anrufen und keine persönlichen oder Firmeninformationen eingeben.