|
Título: la proteccion SSL es segura?¿ Publicado por: Borito30 en 23 Abril 2017, 23:41 pm Veo muchas paginas que utilizan este tipo de protección y ya a nivel de seguridad es bastante utilizada y me corrio esa duda.
¿Es una buena manera de proteger la información en una pagina web que no queramos revelar? Título: Re: la proteccion SSL es segura?¿ Publicado por: engel lex en 23 Abril 2017, 23:47 pm resumen: si, bastante seguro....
incluso el ataque actual se basa en tratar que el proveedor pase un cifrado debil para romperlo... pero si no tienen sino solo cifrados pesados, no hay via... han conseguido "vulnerabilidades" al cifrado RSA que permite bajar de 4096 bits a creo que 3500bits el cifrado (un lio así medio loco), sin embargo por encima de 1024bits es hoy dia aún incalculable (incluso con supercomputadoras) caería en más detalle... pero mejor leete los documentos del protocolo y allí te dirá lo necesario Título: Re: la proteccion SSL es segura?¿ Publicado por: Borito30 en 24 Abril 2017, 00:27 am Leyendo este artículo http://www.zdnet.com/article/how-the-nsa-and-your-boss-can-intercept-and-break-ssl/ me dio que pensar.
lo que si sé esque en juegos populares que utilizando certificados SSL han sido vulnerados obteniendo las rsa-key y un proxy que hace mitm entre tu navegador- y la pagina obteniendo la información en texto plano o mismamente usando un certificado falso que sea aceptado por la pagina web. Título: Re: la proteccion SSL es segura?¿ Publicado por: engel lex en 24 Abril 2017, 00:40 am no es tan simple... tiene que ser una mezcla de cosas, entre ellas, primero ser filtro del 100% de tu conexión (es decir ser tu ISP) ya que no solo tiene que filtrar tu pagina, sino tambien explotar los certificados de las entidades certificadoras...
segundo, hacer el cambio de certificado en fecha de vencimiento (si no, saltará la típica pagina "esta conexión no es segura") Citar han sido vulnerados obteniendo las rsa-key no, nunca tuvieron las key... el certificado nunca fue roto, fue sustituido por uno falso, es un asunto complicado y que requiere atención... en hecho de ahí en más la unica seguridad es que tu fueras a la sede de la pagina en tu país, solicitaras la llave publica de ellos y la metieras a mano... y en este caso, el empleado podría estar pagado por la cia para dar una falsa... ya para arriba no pueden haber más niveles de seguridad XD (bueno, si, vpn que tiene un certificado fijo, pero no uno publico, sino uno personal que tu hagas el certificado, ya que no sabes si quien te lo dio, lo copia para el, y esto no puede ser por internet, porque si no podrían interceptar tu comunicación original, y tampoco podría ser en tu país ya que si está pegado al mismo isp es cosa de saber que tu vas a allí y de allí sales, ergo lo que salga del servidor, eres tu) Título: Re: la proteccion SSL es segura?¿ Publicado por: kub0x en 24 Abril 2017, 01:46 am Con un Proxy para hacer MITM en SSL/TLS necesitas un certificado firmado por una entidad de confianza, supongamos que NSA y similares lo tienen podrían realizar este sistema de espionaje pero...
Hay varias técnicas para evitar esto como puede ser Certificate pinning, Convergence (observatorio de certificados) y Certificate Transparency (repo de certs). Vamos que al que se la cuelan es por que quiere :D Saludos! |